共找到9條詞條名為鬼影的結果 展開

鬼影

計算機病毒

"鬼影"病毒是,2010年3月15日,金山安全實驗室捕獲一種新型的電腦病毒。

目錄
1簡介 2定義 3危害
4特徵 5未來

簡介

鬼影[計算機病毒]
鬼影[計算機病毒]
2010年3月15日,金山安全實驗室捕獲一種新型的電腦病毒,由 於該病毒成功運行后,在進程中、系統啟動載入項里找不到任何異常,同時即使格式化重裝系統,也無法將徹底清除該病毒。猶如"鬼影"一般"陰魂不散",所以稱為"鬼影"病毒。該病毒也因此成為國內首個"引導區"下載者病毒。
一路走來,衝擊波、震蕩波、QQ病毒、傳奇木馬、熊貓燒香、機器狗……遭遇過病毒攻擊的人們依然還在為自己的損失嘆息,感慨為何不"防患於未然",面對"未然"的鬼影病毒又該如何"防患"?
網路安全技術核心就是"攻"與"防"的技術,著名的《孫子兵法》中寫到"知彼知己者,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆"。而解決問題,分析問題是必不可少的。

定義

鬼影[計算機病毒]
鬼影[計算機病毒]
鬼影病毒是指寄生在磁碟主引導記錄(MBR),即使 格式化重裝系統,也無法清除的病毒。當系統再次重啟時,該病毒會早於操作系統內核先行載入。而當病毒成功運行后,在進程中、系統啟動載入項里找不到任何異常,病毒就象"鬼影"一樣在中毒電腦上"陰魂不散"。

危害

鬼影[計算機病毒]
鬼影[計算機病毒]
網民說過:中毒了沒關係,重裝系統就OK。而現在這句話將成為歷史。因該病毒寄生在磁碟主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒徹底清除。
1、顛覆傳統,重裝系統無法清除
業界反病毒專家表示,"一般的電腦病毒是Windows系統下的應用程序,在Windows載入之後才運行。而"鬼影"病毒的主要代碼是寄生在硬碟的主引導記錄(MBR),在電腦啟動過程中先於系統核心程序直接載入到電腦內存中運行。對於已經寄生於MBR中的病毒,安全軟體無法進行攔截。因病毒比安全軟體的啟動還要早。
2、安全軟體失效 電腦明顯變慢
"鬼影"病毒是隨某些共享軟體捆綁安裝進入電腦的,"鬼影"病毒入侵后,會釋放驅動程序改寫硬碟MBR(主引導記錄),驅動程序在開機過程中攻擊眾多殺毒軟體,令殺毒軟體失效,再下載傳統的AV終結者木馬下載器,最終目的依然是通過傳播盜號木馬,竊取用戶虛擬財產牟利。中毒后,最直觀的現象是安全軟體無法正常運行,電腦明顯變慢,IE主頁被改。
3、罕見技術型病毒
"鬼影"病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術主要在國外技術論壇傳播,在"鬼影"病毒之前,這一技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師說,目前"鬼影"病毒只針對Winxp系統,該病毒尚不能破壞Vista和Windows 7系統。
通過研究發現,電腦在中毒之後,會向整個內網發送大量的ARP欺騙信息,嚴重威脅網民遊戲賬戶信息的安全,而且極易導致網吧大面積的斷網,極大影響了網吧的正常運營。
對ARP病毒欺騙攻擊,傳統辦法是增大路由器ARP信息主動廣播的密度。為了減輕網路廣播的壓力,採用IP\MAC地址雙向綁定的方式進一步防禦ARP病毒的攻擊。
"鬼影"病毒是近年來罕見的技術型病毒,它具有攻擊包密集高、數量多的特點,這種攻擊已經超過普通路由器的性能極限,很容易堵死路由器網路介面,造成全網掉線。因此,傳統ARP防禦方式無法阻擋"鬼影"。
現象:
1. 系統明顯變慢,打開網頁很慢
2.殺毒軟體打不開了,安全相關的網頁打不開了
3.重裝系統仍不能清除
4.桌面有個垃圾圖標,打開是個色情網站,無法徹底刪除
5. 遊戲賬號被盜了
至少有以上兩種現象,則說明可能中了“鬼影”病毒,請下載該專殺進行檢測並修復。
如果檢測出來不是鬼影病毒。也可以下載360系統急救箱或金山急救箱清除其他木馬。
注意:清除該病毒需要修改磁碟主引導記錄(MBR),有一定機率導致不能引導系統。

特徵

1.“鬼影”病毒母體運行后,會釋放兩個驅動到用戶電腦中,並載入。和母體病毒捆綁在一起其它流氓軟體會修改桌面快捷方式,嘗試修改IE屬性。
(分析:病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標,便於病毒的真正母體隱藏得更好)
2.a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁碟,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統后,病毒載入入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
3.病毒母體自己刪除。
4.重啟系統后,主引導記錄(MBR)中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統載入ntldr文件時,插入惡意代碼,使其載入b驅動。
5.b驅動載入起來后,會監視系統中的所有進程模塊,若存在安全軟體的進程,直接結束。
6.b驅動會下載av終結者到電腦中,並運行。
7.下載的av終結者病毒會修改系統文件,對安全軟體進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。
8.該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統

未來

該病毒開創了中國惡意軟體編寫的先河,預計該病毒的源文件將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟體利用“鬼影”病毒的MBR-rootkit技術長期駐留用戶電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已。

基本信息

中文名
鬼影
截獲者
金山安全實驗室
類型
電腦病毒
截獲時間
2010年3月15日