微点交流论坛 - 微点茶室 - 真有那么神秘的病毒？！！

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点茶室 » 真有那么神秘的病毒？！！

1/2

饭桶小白
高级用户

积分 558
发帖 556
注册 2009-5-9

#1 真有那么神秘的病毒？！！

http://net.chinabyte.com/91/11172591.shtml

以前，常听用户说，中毒了没关系，大不了重装系统。
　　以前，常听用户说，中毒了没关系，大不了重装系统。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录(MBR)，即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。

　　颠覆传统重装系统无法清除

　　金山安全反病毒专家表示，“一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒，安全软件无法进行拦截。因病毒比安全软件的启动还要早。

　　李铁军表示，“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统;全新的病毒技术，突破了普通杀毒软件的自保护，“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。

　　安全软件失效电脑明显变慢

　　金山安全实验室的研究人员分析发现，这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的，目前的日感染电脑约2-3万台。“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR(主引导记录)，驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。

　　罕见技术型病毒源于国外

　　“鬼影”病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说，目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows 7系统。

　　另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR)，病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。

　　金山毒霸已经升级，可查杀传播“鬼影”病毒的母体文件，避免更多用户受“鬼影”病毒之害，用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。

忽然想起了那年瑞星自己放毒自己杀的事件~这么厉害的病毒，难道卡巴、诺顿、NOD32等世界名牌杀软都没发现？！

※ ※ ※ 本文纯属【饭桶小白】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-15 13:10

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

#2

人吓人，吓死人

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

做个性的自己

2010-3-15 13:20

zzz@zzz
注册用户

积分 111
发帖 111
注册 2010-1-4

#3

无进程模块?
反病毒专家真的不过如此。。。
MBR里面也就446字节给你用，高手啊，实现boot code 跨平台windows下联网下载。。。叹为观止。。

※ ※ ※ 本文纯属【zzz@zzz】个人意见，与【微点交流论坛】立场无关※ ※ ※

自由。。平等。。

2010-3-15 20:04

llw1226
新手上路

积分 18
发帖 18
注册 2010-2-19

#4

看起来很强悍啊，不知道微点官方怎么看待呢？

※ ※ ※ 本文纯属【llw1226】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-15 20:13

饭桶小白
高级用户

积分 558
发帖 556
注册 2009-5-9

#5

我也觉得神奇了，连进程都没有？！！

※ ※ ※ 本文纯属【饭桶小白】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-15 21:43

aqingge
注册用户

积分 62
发帖 62
注册 2010-3-12

#6

一般般也不怎么样啊哈哈哈哈

※ ※ ※ 本文纯属【aqingge】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-15 22:21

zzz@zzz
注册用户

积分 111
发帖 111
注册 2010-1-4

Quote:

Originally posted by 饭桶小白 at 2010-3-15 21:43:
我也觉得神奇了，连进程都没有？！！

模块是有滴，应该是被RK了，前几年的bootkit是如此，不知现在的国货。。

※ ※ ※ 本文纯属【zzz@zzz】个人意见，与【微点交流论坛】立场无关※ ※ ※

自由。。平等。。

2010-3-15 23:16

xuy777
高级用户

积分 660
发帖 656
注册 2007-3-26

#8

不知道你所说的是硬盘的物理引导0扇区还是在此之后的逻辑引导区？
对付这类病毒也好办，以前做一张dos引导盘，norton 磁盘医生在dos下有一个磁盘工具，好像是较diskeidt ，进入0扇区，把所有的数据清零——超级累人，此时的硬盘必须用低格软件重新格式化——非常浪费时间。再用fdisk.exe重新分区。
以前记得kv杀毒好像就有一个功能备份0扇区，因为那时候的病毒不赚钱只搞破坏。0扇区被干掉后，磁盘所有数据就都完蛋了。编这样的病毒的人估计是搞磁盘数据恢复工作的/也可能微软放的专门对付盗版xp镜像（可以直接穿透镜像）

刚刚在网上搜了下，mbr就是0道1扇区的东西。可以用fdisk /mbr 清除 mbr记录，但这样一来很可能磁盘中的数据就消失了/不知道能不能恢复。

这个病毒只能感染winxp，vista、win7暂不能感染。

[ Last edited by xuy777 on 2010-3-17 at 12:37 ]

※ ※ ※ 本文纯属【xuy777】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-16 16:14

littlefritz
版主

微点帮帮团团长

积分 3505
发帖 3502
注册 2009-5-23
来自微点帮帮团

#9

使用微点主动防御软件的用户，无须任何设置微点将自动防御该病毒。有关该病毒的详细信息，请关注微点交流论坛病毒快报版块2010.3.18日的病毒报告（Trojan.Win32.bookit.a）

※ ※ ※ 本文纯属【littlefritz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-19 00:17

safeage
高级用户

积分 695
发帖 693
注册 2007-5-3

#10

估计是忽悠人的吧？哪有这么厉害的病毒？全盘格式化，再重新分区，你病毒还在？你病毒真是鬼啊，阴魂不散？？真是搞笑。

※ ※ ※ 本文纯属【safeage】个人意见，与【微点交流论坛】立场无关※ ※ ※

一个人做生意,二个人开银行,三个人搞殖民地！
喷血美女跳舞秀： http://hi.baidu.com/safeage

2010-3-19 01:08

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号