鬼魅
計算機病毒
2010年3月15日,金山安全實驗室捕獲一種被命名為“鬼魅”的電腦病毒,該病毒寄生在磁碟主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於操作系統內核先行載入。而當病毒成功運行后,在進程中、系統啟動載入項里找不到任何異常,病毒就象“鬼魅”一樣在中毒電腦上“陰魂不散”。
“鬼魅”病毒主要代碼是寄生在硬碟的主引導記錄(MBR),在電腦啟動過程中先於系統核心程序直接載入到電腦內存中運行。對於已經寄生於MBR中的病毒,安全軟體無法進行攔截。因病毒比安全軟體的啟動還要早。
“鬼影”病毒是國內首個引導區下載者病毒,顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,不僅做到了“三無”特性——無文件、無系統啟動項、無進程模塊,而且即使用戶重裝了系統,該病毒依然會再次進入用戶新系統;全新的病毒技術,突破了普通殺毒軟體的自保護,“鬼影”病毒可以說是一個具有“劃時代”特徵的電腦病毒。
“鬼影”病毒入侵后,會釋放驅動程序改寫硬碟MBR(主引導記錄),驅動程序在開機過程中攻擊眾多殺毒軟體,令殺毒軟體失效,再下載傳統的 AV終結者木馬下載器,最終目的依然是通過傳播盜號木馬,竊取用戶虛擬財產牟利。中毒后,最直觀的現象是安全軟體無法正常運行,電腦明顯變慢,IE主頁被改。
現階段大部分殺毒軟體均可查殺