概念
鬼影病毒是指寄生在磁碟主引導記錄(MBR),即使格式化重灌系統,也無法清除的病毒。來源介紹
“鬼影”病毒是來較為罕見的技術型病毒,直接改寫MBR的技術主要在國外技術論壇傳播,在“鬼影”病毒之前,這一技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師說.
另據金山安全實驗室研究人員透露,在目前國內安全廠商和民間反病毒高手中,能夠完整分析“鬼影”病毒的人屈指可數。因病毒寄生於硬碟的主引導記錄(MBR),病毒釋放的驅動程式能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除,金山已經推出了鬼影專殺工具。
金山毒霸已經升級,可查殺傳播“鬼影”病毒的母體檔案,避免更多用戶受“鬼影”病毒之害,用戶只需要線上升級即可獲得相應防禦能力。金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表,防止更多用戶下載這個神秘的“鬼影”病毒。
以下是經過測試可穿透的還原列表:開啟驅動防火牆沒有測試,此測試只供大家參考
<1>.訊閃全系列還原軟體(包括最新版,開啟驅動防火牆無法穿透)
<2>.快速還原(包括最新版)
<3>.易速還原(包括最新版)
<4>.極速還原(包括最新版)
<5>.貝殼還原(包括最新版)
<6>.雨過天晴(包括最新版)
<7>.影子系統(包括最新版)
<8>.勝天還原(包括最新版)
<9>.冰點還原(包括最新版)
<10>.還原精靈(包括最新版)
<11>.小哨兵還原卡
<12>.三茗還原卡
<13>.方正磁碟保護器
<14>.360還原保護,大部份防狗補丁,所有品牌電腦公司還原保護(如聯想、DELL、SONY、三星等品牌)。2
特徵
無需寄主結束所有防毒軟體。該病毒一旦進入電腦,就像惡魔一樣,隱藏在系統之外,無檔案、無系統啟動項、無進程模組,比系統運行還早,結束所有防毒軟體,下載av終結者,盜號木馬,ie主頁修改等大量多品種病毒。
顛覆傳統重灌系統無法清除。
一般的電腦病毒是Windows系統下的應用程式,在Windows載入之後才運行。而“鬼影”病毒的主要代碼是寄生在硬碟的主引導記錄(MBR),即使用戶重裝了系統,仍無法將其完全清除。當系統再次重啟時,該病毒會早於作業系統核心先行載入。而當病毒成功運行後,在進程中、系統啟動載入項里找不到任何異常,病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。“鬼影”病毒是國內首個引導區下載者病毒,顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,不僅做到了“三無”特性——無檔案、無系統啟動項、無進程模組,而且即使用戶重裝了系統,該病毒依然會再次進入用戶新系統。
安全軟體失效電腦明顯變慢
“鬼影”病毒入侵後,會釋放驅動程式改寫硬碟MBR(主引導記錄),驅動程式在開機過程中攻擊眾多防毒軟體,令防毒軟體失效,再下載傳統的AV終結者木馬下載器,最終目的依然是通過傳播盜號木馬,竊取用戶虛擬財產牟利。中毒後,最直觀的現象是安全軟體無法正常運行,電腦明顯變慢,IE主頁被改。3
出現症狀
1、電腦非常卡,操作程式有明顯的停滯感,常見防毒軟體無法正常打開,同時發現反覆重灌系統後問題依舊無法解決。2、系統檔案被感染防毒查殺以後提示找不到相應的dll或者系統功能不正常。rpcss.dll,ddraw.dll是盜號木馬常修改的系統dll。
3、QQ號碼被盜,可被黑客用來傳播廣告等。魔獸、DNF、天龍八部、夢幻西遊等遊戲賬號被盜。
4、進程中存在iexplor.exe進程並指向一個不正常的網站。
5、鬼影共同特徵就是進程里有ali.exe
6、你的電腦桌面上出現了一個討厭的“播放器”捷徑,而且刪不掉。
7、鬼影病毒還有一個特徵就是任何軟體(有些例外如360急救箱),會在7——12秒內自動關閉,一些鬼影病毒可以禁止一些“純鬼影專殺”,當啟動專殺時,會發現專殺驅動無法成功啟動。只有一些強制性的防毒軟體(如金山系統急救箱),才可以清除。
8、還有一個共同點就是中了該病毒之後,電腦如果只裝有一塊硬碟可以啟動系統,如果電腦裝有兩塊硬碟以上,或者插了隨身碟。進入系統時就會出現藍屏。(藍屏原因是分區錯誤)4
工作原理
1.“鬼影”病毒母體運行後,會釋放兩個驅動到用戶電腦中,並載入。和母體病毒捆綁在一起其它流氓軟體會修改桌面捷徑,嘗試修改IE屬性。(分析:病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標,便於病毒的真正母體隱藏得更好)
2.a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁碟,保證病毒是優先於系統啟動,且病毒檔案保存在系統之外。這樣進入系統後,病毒載入入記憶體,但找不到任何啟動項、找不到病毒檔案、在進程中找不到任何進程模組。
3.病毒母體自刪除。
4.重啟系統後,主引導記錄(MBR)中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統載入ntldr檔案時,插入惡意代碼,使其載入b驅動。
5.b驅動載入起來後,會監視系統中的所有進程模組,若存在安全軟體的進程,直接結束。
6.b驅動會下載av終結者到電腦中,並運行。
7.下載的av終結者病毒會修改系統檔案,對安全軟體進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。
8.該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統。(目前最新的變種可以感染vista、win7和win8,但在win8/win8.1無法破壞MBR,無法注入病毒驅動程式,比較容易處理)5
處理方法
重灌系統
格式化C糟,進入dos狀態,運行fdisk/mbr命令,用以清除掉主引導區的病毒引導代碼,這時候重灌系統就可以了,但是這是在完全安裝起作用的,如果你用是GHOST安裝系統那么還要多做以下幾步:1、通過GHOST系統盤進入PQ/PM分區工具,一般GHOST系統盤都帶的。
2、右擊c盤,選擇進階-設為作用,這樣就把MBR引導層重新寫了一遍,這樣在引導層中的病毒也自然被剔除了。
3、直接用GHOST系統盤安裝系統就OK了。
查殺方法
DOS下手動查殺方法第一步:找
專殺工具
:這裡推薦使用“一鍵GHOST“,其中的DOS工具箱自帶的小工具DISKRW就可以完美解決。第二步:殺除MBR病毒
1、清除MBR以外的硬碟保留扇區。安裝或製作好“一鍵GHOST”,開機進入一鍵GHOST,最終出現紅色界面時按ESC鍵退回到主選單,按方向鍵選擇“DOS工具箱”-->“DISKRW"-->"3.清除"-->"清除(2)“-->確定。(注意,儘量使用2010版,更早的版本不能保證有此功能)。
2、修復MBR(關鍵一步,必須做),接著下一步,選擇“4.修復”-->“修復(F)“-->確定。
第三步:重裝或恢復系統。在第二步完成後,千萬不要重啟電腦進入WINDOWS了,否則會二次感染。正確的方法是,將系統安裝光碟放入光碟機中,重灌系統。或者如果你有本地的系統備份(當然是沒感染病毒之前做過的備份),也可以用“一鍵恢復系統”功能進行恢復。
第四步:全盤防毒。返回WINDOWS後,需要升級你的防毒軟體到最新版本(最新病毒庫),然後進行“全盤查殺”,這樣可以把殘留在非系統盤(比如D糟、E盤、F盤)里的病毒寄主檔案殺掉,以做到“斬草除根”。
WindowsXP下MBRFix配合360安全衛士查殺
步驟一:開機打開任務管理器,結束(nat.exe)
步驟二:打開360安全衛士,選擇系統修復來修復系統
步驟三:在網上下載一個工具(MBRFix),在XP下運行“CMD”進入DOS模式,運行(MBRFix/drive0fixmbr/yes)
重啟後OK專殺工具“鬼影”病毒的特徵之一是安全軟體不能正常運行,該病毒累計感染量約30萬台。若網民發現自己電腦上安裝的安全軟體莫名其妙不能正常運行,常見的修復工具也不能正常運行,請嘗試使用金山安全中心發布的“鬼影”病毒專殺工具檢查修復。此工具適用於尚未變種的鬼影病毒,一旦該病毒變種,該專殺將會無效,這裡提醒大家要注意上網時的網路防護,要定期開啟殺軟掃描,金山毒霸已能夠殺滅鬼影母體。“鬼影”病毒傳播的廣度分析金山雲安全系統分析該惡意軟體的下載頻率,結合傳播病毒的網站流量分析,評估該病毒的日下載量大約為2-3萬之間。
金山查殺
金山查殺後手動善後開始-運行-msconfig。
1.選擇“啟動”,把ali前面的勾去掉,單擊套用。
2.開始-運行-win.ini,內容已被更改為
[DownLoad]
exe1=coopen-3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe
exe2=
[ad]
ad1=12
[HomePage]
home=
[Time]
DownLoadIniTime=60
PopAdTime=2
DownLoadLelayTime=1
RunDelayTime=0
FirstRunExeTime=2
FirstPopWidTime=1
cjver=2
cjaddr=
[Link]
Link1=手機圖鈴|http://66.79.168.187:55325/tuling.html
ing.html
替換為
;for16-bitappsupport
[fonts]
[extensions]
[mciextensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCIExtensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
m2v=MPEGVideo
mod=MPEGVideo
保存,退出6
未來
鬼影病毒開創了中國惡意軟體編寫的先河,預計該病毒的源檔案將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟體利用“鬼影”病毒的MBR-rootkit技術長期駐留用戶電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已。7病毒變種
最新高危木馬“鬼影2”現身2011年首款高危木馬“鬼影2”現身網路,電腦一旦中招就會明顯變慢、無法打開安全軟體、重灌系統甚至格式化硬碟也無濟於事,危害超過當年的“熊貓燒香”、“犇牛”等惡性木馬下載器。360安全中心發現,“鬼影2”主要通過捆綁遊戲外掛進行傳播,對20餘款熱門網遊實施盜號,保守估計該木馬至少已攻擊了10萬台網民電腦。
經360安全中心分析,“鬼影2”木馬主要威脅Windows XP系統用戶。該木馬之所以難以清除,原因在於它採用了三招“組合拳”:第一招,欺騙用戶關閉安全軟體,“否則就無法達到遊戲外掛的透視效果”;第二招,暴力破壞被用戶手動關閉的安全軟體,使其無法正常工作,並阻止用戶重新安裝運行主流安全軟體;第三招,感染電腦硬碟MBR(主引導記錄),使用戶無論是重灌系統、還是格式化硬碟都無法徹底清除木馬。
專門感染MBR的“鬼影”木馬已經出現,然而“鬼影2”比它的原型更為頑固。根據360安全專家石曉虹博士介紹,所有正規安全軟體在發布時都帶有數字簽名,相當於安全軟體的“身份證”。“鬼影2”木馬恰恰利用了這一點,凡是帶著“身份證”的正規安全軟體一律阻止運行,包括國內外11家主流安全廠商的產品。
據介紹,“鬼影2”木馬典型的中招症狀包括:無法安裝運行主流安全軟體、電腦明顯變慢、CF(穿越火線)等20餘款熱門遊戲帳號被盜、任務管理器出現1.tmp等隨機數字名稱的可疑進程。
史上最強“鬼影3”現身網路
繼“鬼影2”後,網路上又出現了超級頑固的病毒“鬼影3”(只感染WindowsXP系統)
鬼影3病毒的表現現象:
1、防毒軟體反覆對beep.sys和c盤根目錄下alg.exe報毒卻無法清除;
2、瀏覽器首頁被篡改為bubu888網址導航(也可能為其它網址導航);
3、電腦桌面出現“免費電影”、“美女圖片”等廣告圖示,不定期彈出廣告網頁。
4、同時在後台下載安裝多個網際網路軟體以賺取推廣費。
5、個別變種也會下載其它木馬下載器和AV終結者病毒,中毒電腦可能出現遊戲帳號被盜等安全風險。
“鬼影”病毒家族主要包括三代“鬼影”病毒,無論重灌系統或是格式化硬碟都無法清除病毒,鬼影3與鬼影1、鬼影2的區別在於它釋放了一個惡意驅動作為“保鏢”,用來禁止任何修復MBR的操作。對防毒軟體來說,不清除“保鏢”驅動就無法修復MBR,不修復MBR又無法清除“保鏢”驅動,從而陷入“鬼影3”怎么都殺不乾淨的死循環中。
鬼影3病毒傳播渠道
1.通過某個視頻專用播放器捆綁傳播
2.通過網路遊戲外掛捆綁病毒傳播
3.通過“不良網站”提供的視頻捆綁病毒
4.通過部份惡意遊戲下載站下載的遊戲困綁傳播
“鬼影3”
格式化硬碟都刪不掉的“鬼影”系列病毒又出現了。360安全中心捕獲最新的“鬼影3”病毒後發現,該病毒採用非常頑固的方式強駐受害電腦,常規防毒技術無法清理,甚至病毒作者似乎也認為“鬼影3”根本不可能被殺掉,並沒有像前兩代“鬼影”一樣破壞防毒軟體。為此,360已緊急開發出專殺工具,提醒受害網民儘快安裝使用。
360安全專家石曉虹博士介紹說,“鬼影”系列病毒的共同特點是感染電腦硬碟的主引導記錄(MBR),無論重灌系統或是格式化硬碟都無法清除病毒。在查殺前兩代“鬼影”時,不同廠商推出的專殺工具都會首先修復MBR,然後再全面掃描清除病毒殘骸,然而這個方法在查殺“鬼影3”時卻遇到了難題。
不過,“鬼影3”病毒並非完全無藥可解。360安全中心經過研究,已經找到了突破該病毒“保鏢”驅動的辦法,能夠順利修復MBR並徹底清除病毒。另外,如果網友電腦開啟了360安全衛士,也可以在“鬼影3”感染電腦前就將其攔截,避免電腦遭受不必要的損失。
“鬼影3”病毒典型症狀包括:篡改瀏覽器首頁為bubu888網址導航、桌面出現“免費電影”、“美女圖片”等廣告圖示、不定期彈出網頁廣告、防毒軟體反覆掃出beep.sys和alg.exe檔案卻無法清除。如果符合上述情況,網友應立即訪問360官網下載使用專殺工具。
鬼影3病毒查殺以及防禦
1.建議網友的電腦開啟了防毒軟體的監控防禦,會在“鬼影3”運行之前就將其攔截,避免電腦遭受不必要的財產損失。
“鬼影”家族進化史
“鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支,共同特徵是感染電腦硬碟的主引導記錄(MBR)。當受害電腦開機時,“鬼影”病毒家族會比Windows系統更早載入到記憶體中運行,從而使病毒獲得系統控制權。
新鬼影病毒主要通過假冒遊戲外掛和電影播放器傳播,其主要攻擊目標是遊戲玩家和線上看視頻的網民。中毒後的主要表現是主頁被鎖定,防毒軟體反覆報毒(因病毒母體會下載盜號木馬)。即使格式化重裝,這些現象依舊不能解決。
新鬼影病毒可以改寫特定型號主機板BIOS,這很容易讓人聯想到Windows95時代流行的CIH病毒,當時有防毒廠商稱CIH病毒可以破壞硬體。中毒後的電腦將完全黑屏,不能啟動。
新鬼影病毒的目的和CIH完全不同,CIH是以破壞系統為主,而新鬼影則是以賺錢為主,不會破壞系統,中毒電腦不會出現黑屏和分區受損。其主要目的是為導航站帶流量,再下載更多木馬或木馬下載器,推廣其他病毒或軟體。
新鬼影病毒先判定當前系統主機板BIOS是否為AwardBIOS,然後再查找SMI連線埠,寫入新的BIOS內容,其目的是保護硬碟MBR(主引導記錄)被其他程式改寫。這樣就造成防毒軟體或一些磁碟編輯工具無法查看或編輯主機板MBR信息,從而使病毒難以清除。
鬼影6病毒查殺以及防禦
2012年8月,鬼影6出來了。
特徵:
1:在C:\ProgramFiles\InternetExplorer目錄下多了skype.exe,qq.exe,my_705file.exe,my_Xcode.exe等34個病毒檔案。temp目錄下,也有很多個.exe檔案,這些檔案可以手動刪除,但是重啟之後就出現,
2:360安全衛士和QQ管家,以及防毒軟體都不能啟動。
3:電腦開機之後很慢,進程裡面有一個skype.exe,結束這個進程之後,過五六分鐘電腦會稍微快一點。
處理辦法:
任何防毒軟體都沒用,360保險箱和金山鬼影專殺都無效,如果系統是windows2003,360保險箱還會誤傷系統,導致系統無法啟動。GHOST,重灌系統,格盤,甚至分區都不能決絕這問題。
辦法:製作一張帶Diskgen的PE啟動隨身碟或許光碟,(不會做,百度一下,這個不難。)如果是隨身碟,用隨身碟啟動
電腦(不會的,百度一下,或許打電話諮詢你的電腦主機板廠家),進去PE系統,打開Diskgen,選中你的硬碟,點擊重建MBR,然後保存,退出,重啟電
腦。(注意,這時候千萬別急著進系統),這時候引導區的病毒已經消滅了,但是系統的病毒還沒有消滅,這時候可以格式化C糟,然後重灌系統,或許直接GHOST還原C糟。等系統裝完,或許GHOST還原完畢,病毒就徹底消滅了。
