微点交流论坛 - 主动防御 - 金山"鬼影" 几年前的微点就可以防~

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 金山"鬼影" 几年前的微点就可以防~

1/3

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 金山"鬼影" 几年前的微点就可以防~

老病毒并未真正死去一个14年未见的引导扇区病毒
不需要受害者计算机启动就能进行感染的Boot Sector Virus ，国外一个变态方式启动的病毒微点主动防御拦截后门行为 2008-1-11
详见：http://bbs.micropoint.com.cn/showthread.asp?tid=26236

2009美国黑帽大会攻击TrueCrypt的bootkit
BlackHat USA 2009大会上的一个bootkit ，感染MBR，劫持内核，攻击TrueCrypt

2009/7/29 BlackHat USA 2009: Boot.Stonedbootkit is a virus that infects the master boot record (MBR) on the compromised computer.
http://hi.baidu.com/micropoint/b ... eef3380a55a90a.html

主动防御刻不容缓！幸亏没有被流行起来的MBR_Rootkit
详见：http://hi.baidu.com/micropoint/b ... 4aaf0f304e15dd.html

神秘“鬼影”病毒袭击Winxp系统，重装也无法消灭

　　近日金山安全实验室捕获一种名为“鬼影”的病毒，该病毒专门攻击XP系统，由于寄生在磁盘主引导记录(MBR)，因此就算格式化重装系统也无法清除该病毒。“鬼影”病毒在难以清除的同时，也会干掉系统中的杀毒软件，并下载大量木马，堪称史上最牛的病毒。

　　病毒特征：
1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。
（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）

2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
（“鬼影”病毒是近年来极为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术一般称之为MBR-rootkit，主要在国外技术论坛传播，在 “鬼影”病毒之前，这一技术少有被黑客利用的案例。）

3.病毒母体自删除。

4.重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

6.b驱动会下载av终结者到电脑中，并运行。

7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

　　“鬼影”病毒影响力分析
据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。

因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。

　　“鬼影”病毒传播方法：

当前“鬼影”病毒主要通过网页挂马传播，金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。　

　　MBR（Master Boot Record）,中文意为主引导记录。
电脑通电开机，主板自检完成后，被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区，它的大小是512字节，不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。

DOS时代泛滥成灾的引导区病毒多寄生于此。

电脑系统开机过程：
开机通电自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存。-->控制权交给主引导程序-->检查分区表状态，寻找活动的分区-->主引导程序将控制权交给活动分区的引导记录，由引导记录加载操作系统启动文件。

[ Last edited by 点饭的百度空间 on 2010-3-17 at 10:13 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2010-3-16 18:41

镜湖YES
银牌会员

积分 1225
发帖 1199
注册 2009-3-15

#2

楼主发到卡饭去吧，哪里人流量大，也好为微点宣传宣传。

※ ※ ※ 本文纯属【镜湖YES】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-16 18:55

zerg1517
新手上路

积分 18
发帖 18
注册 2009-6-2

#3

有样本吗?

※ ※ ※ 本文纯属【zerg1517】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-16 19:29

sky280628651
新手上路

积分 1
发帖 1
注册 2010-3-16

#4

我是微点的忠实fans啊。。。。自从用上微点，太省心了。。。。

※ ※ ※ 本文纯属【sky280628651】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-16 20:02

zhangzhiyu8866
新手上路

积分 5
发帖 5
注册 2007-9-28

#5

有没有鬼影的样本。。。

※ ※ ※ 本文纯属【zhangzhiyu8866】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-16 21:46

饭桶小白
高级用户

积分 558
发帖 556
注册 2009-5-9

#6

一直相信微点~~看着那些杀软整天报道新闻说有什么病毒药大规模发作，然后就要求大家升级到最新版本，然后再出专杀！而我的微点即使不更新也一样可以查杀！心里偷笑啊！@@@

※ ※ ※ 本文纯属【饭桶小白】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-16 23:32

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#7

大家放心吧！
不管是“鬼影”还是“火影” 磁盘引导病毒或者是硬盘终结者(分区表DPTkill)等等。。取什么名字不重要变来变去都一样只要这类的恶意代码对计算机的启动过程产生危害行为微点主动防御软件立即会进行实时拦截处理保护大家系统安全。另外微点的启动速度是所有安全软件中最快的

2009美国黑帽大会攻击TrueCrypt的bootkit
BlackHat USA 2009大会上的一个bootkit ，感染MBR，劫持内核，攻击TrueCrypt

2009/7/29 BlackHat USA 2009: Boot.Stonedbootkit is a virus that infects the master boot record (MBR) on the compromised computer.

http://hi.baidu.com/micropoint/b ... eef3380a55a90a.html

扫描结果
扫描结果 : 16%的杀软(6/37)报告发现病毒
时间 : 2009/07/31 10:22:24 (CST)
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间

a-squared 4.5.0.3 20090730050112 2009-07-30 -
0.352
AntiVir 8.2.0.236 7.1.5.53 2009-07-30 TR/Rootkit.Gen
0.105
Arcavir 2009 200907301839 2009-07-30 -
0.083
Authentium 5.1.1 200907302235 2009-07-30 -
1.448
AVAST! 4.7.4 090730-0 2009-07-30 Win32:MBRoot [Rtk]
0.026
AVG 8.5.288 270.13.37/2273 2009-07-31 -
0.346
BitDefender 7.81008.3869731 7.26903 2009-07-31 -
3.407
CA (VET) 9.0.0.143 31.6.6647 2009-07-30 -
3.942
ClamAV 0.95.2 9632 2009-07-29 -
0.070
Comodo 3.10 1818 2009-07-31 -
0.741
CP Secure 1.1.0.715 2009.07.30 2009-07-30 -
11.602
Dr.Web 4.44.0.9170 2009.07.30 2009-07-30 -
5.131
F-Prot 4.4.4.56 20090730 2009-07-30 -
1.356
F-Secure 7.02.73807 2009.07.29.10 2009-07-29 -
6.142
GData 19.6780/19.419 20090731 2009-07-31 Win32:MBRoot [Rtk] [Engine:B]
5.577
Ikarus T3.1.01.64 2009.07.31.73133 2009-07-31 Possible-Threat.Bootkit.Stoned
3.980
Microsoft 1.4903 2009.07.31 2009-07-31 -
4.981
Norman 6.01.09 6.01.00 2009-07-30 -
4.007
nProtect 20090728.01 4951926 2009-07-28 -
6.573
Quick Heal 10.00 2009.07.30 2009-07-30 -
1.514
Sophos 2.89.1 4.44 2009-07-31 -
2.751
Sunbelt 5301 5301 2009-07-30 -
1.067
The Hacker 6.3.4.3 v00374 2009-07-30 -
1.121
VBA32 3.12.10.9 20090730.1435 2009-07-30 -
2.243
ViRobot 20090730 2009.07.30 2009-07-30 -
0.602
VirusBuster 4.5.11.10 10.109.17/1825081 2009-07-30 -
2.475
卡巴斯基 5.5.10 2009.07.31 2009-07-31 -
0.085
安博士V3 2009.07.31.00 2009.07.31 2009-07-31 -
1.175
安天 2.0.18 20090729.2652900 2009-07-29 -
0.120
江民杀毒 11.0.800 2009.07.29 2009-07-29 -
6.206
熊猫卫士 9.05.01 2009.07.30 2009-07-30 -
1.939
瑞星 20.0 21.40.34.00 2009-07-30 -
1.147
赛门铁克 1.3.0.24 20090730.007 2009-07-30 Boot.Stonedbootkit
0.050
趋势科技 8.700-1004 6.334.01 2009-07-30 -
0.059
迈克菲 5.3.00 5693 2009-07-30 -
3.103
金山毒霸 2009.2.5.15 2009.7.31.7 2009-07-31 Heur.Win32.Generic.m
0.478
飞塔 2.81-3.120 10.662 2009-07-30 -

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2010-3-17 10:23

饭桶小白
高级用户

积分 558
发帖 556
注册 2009-5-9

#8

李铁军说了，我在虚拟机上打不开微点主防，所以毛点防不了鬼影病毒！

※ ※ ※ 本文纯属【饭桶小白】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-17 10:43

vipjjj@qq.com
新手上路

积分 11
发帖 11
注册 2010-3-17

#9

这人感染的人数暂时不是很多，昨天泡了一下金山的官网，感染的人数每日在3万台上下。不过今天去找不到这个消息了，找不到了，金山的官网真TMD的乱糟糟的，鄙视！
好像在论坛上有，去官网找了半天，没见到，它的论坛也没心情去了。

[ Last edited by vipjjj@qq.com on 2010-3-18 at 14:49 ]

※ ※ ※ 本文纯属【vipjjj@qq.com】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-18 14:48

littlefritz
版主

微点帮帮团团长

积分 3505
发帖 3502
注册 2009-5-23
来自微点帮帮团

#10

使用微点主动防御软件的用户，无须任何设置微点将自动防御该病毒。有关该病毒的详细信息，请关注微点交流论坛病毒快报版块2010.3.18日的病毒报告（Trojan.Win32.bookit.a）

※ ※ ※ 本文纯属【littlefritz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-3-19 00:18

1/3

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号