鬼影病毒

鬼影病毒是指寄生在磁盤主引導記錄（MBR），即使格式化重裝系統，也無法清除的病毒。
2010年3月15日，國內某安全中心發現一種被命名為“鬼影”的電腦病毒，由于該病毒成功運行后，在進程中、系統啟動加載項里找不到任何異常，同時即使格式化重裝系統，也無法徹底清除該病毒。猶如“鬼影”一般“陰魂不散”，所以稱為“鬼影病毒“。該病毒也因此成為國內首個“引導區下載者病毒”。


1 來源介紹
2 特征
3 工作原理
4 出現癥狀
5 處理方法
? 重裝系統
? 查殺方法
? 專殺工具
? 金山查殺
6 病毒變種
7 未來
來源介紹
據金山安全實驗室工程師說，“鬼影”病毒是較為罕見的技術型病毒，直接改寫MBR的技術主要在國外技術論壇傳播，在“鬼影”病毒之前，這一技術少有被黑客實際大規模利用的案例。
另據金山安全實驗室研究人員透露，在目前國內安全廠商和民間反病毒高手中，能夠完整分析“鬼影”病毒的人屈指可數。因病毒寄生于硬盤的主引導記錄（MBR），病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具，在已經中毒的情況下，很難使用現有工具完成病毒清除，金山已經推出了鬼影專殺工具。
金山毒霸已經升級，可查殺傳播“鬼影”病毒的母體文件，避免更多用戶受“鬼影”病毒之害，用戶只需要在線升級即可獲得相應防御能力。金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表，防止更多用戶下載這個神秘的“鬼影”病毒。
以下是經過測試可穿透的還原列表：開啟驅動防火墻沒有測試，此測試只供大家參考
<1>.訊閃全系列還原軟件(包括最新版,開啟驅動防火墻無法穿透)
<2>.快速還原(包括最新版)
<3>.易速還原(包括最新版)
<4>.極速還原(包括最新版)
<5>.貝殼還原(包括最新版)
<6>.雨過天晴(包括最新版)
<7>.影子系統(包括最新版)
<8>.勝天還原(包括最新版)
<9>.冰點還原(包括最新版)
<10>.小哨兵還原卡
<11>.三茗還原卡
<12>.方正磁盤保護器
<13>.大部份防狗補丁，所有品牌電腦公司還原保護(如聯想、DELL、SONY、三星等品牌)。
特征
無需寄主 結束所有殺毒軟件。
該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統之外，無文件、無系統啟動項、無進程模塊，比系統運行還早，結束所有殺毒軟件，下載av終結者，盜號木馬，ie主頁修改等大量多品種病毒。
顛覆傳統 重裝系統無法清除。
一般的電腦病毒是Windows系統下的應用程序，在Windows加載之后才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導記錄（MBR），即使用戶重裝了系統，仍無法將其完全清除。當系統再次重啟時，該病毒會早于操作系統內核先行加載。而當病毒成功運行后，在進程中、系統啟動加載項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。“鬼影”病毒是國內首個引導區下載者病毒，顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢，不僅做到了“三無”特性——無文件、無系統啟動項、無進程模塊，而且即使用戶重裝了系統，該病毒依然會再次進入用戶新系統。
安全軟件失效 電腦明顯變慢
“鬼影”病毒入侵后，會釋放驅動程序改寫硬盤MBR（主引導記錄），驅動程序在開機過程中攻擊眾多殺毒軟件，令殺毒軟件失效，再下載傳統的AV終結者木馬下載器，最終目的依然是通過傳播盜號木馬，竊取用戶虛擬財產牟利。中毒后，最直觀的現象是安全軟件無法正常運行，電腦明顯變慢，IE主頁被改。
工作原理
1.“鬼影”病毒母體運行后，會釋放兩個驅動到用戶電腦中，并加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式，嘗試修改IE屬性。
（分析：病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標，便于病毒的真正母體隱藏得更好）
2.a驅動會修改系統的主引導記錄（mbr)，并將b驅動寫入磁盤，保證病毒是優先于系統啟動，且病毒文件保存在系統之外。這樣進入系統后，病毒加載入內存，但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
3.病毒母體自刪除。
4.重啟系統后，主引導記錄（MBR）中的惡意代碼會對windows系統的整個啟動過程進行監控，發現系統加載ntldr文件時，插入惡意代碼，使其加載b驅動。
5.b驅動加載起來后，會監視系統中的所有進程模塊，若存在安全軟件的進程，直接結束。
6.b驅動會下載av終結者到電腦中，并運行。
7.下載的av終結者病毒會修改系統文件，對安全軟件進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產。
8.該病毒只針對Winxp系統，尚不能破壞Vista和Win7系統。（目前最新的變種可以感染vista、win7和win8，但在win8/win8.1無法破壞MBR，無法注入病毒驅動程序，比較容易處理）
出現癥狀
1、電腦非常卡，操作程序有明顯的停滯感，常見殺毒軟件無法正常打開，同時發現反復重裝系統后問題依舊無法解決。
2、系統文件被感染殺毒查殺以后提示找不到相應的dll或者系統功能不正常。rpcss.dll，ddraw.dll是盜號木馬常修改的系統dll。
3、QQ號碼被盜，可被黑客用來傳播廣告等。魔獸、DNF、天龍八部、夢幻西游等游戲賬號被盜。
4、進程中存在iexplore.exe進程并指向一個不正常的網站。
5、鬼影共同特征就是進程里有ali.exe
6、你的電腦桌面上出現了一個討厭的“播放器”快捷方式，而且刪不掉。
7、鬼影病毒還有一個特征就是任何軟件（有些例外如360急救箱），會在7——12秒內自動關閉，一些鬼影病毒可以屏蔽一些“純鬼影專殺”，當啟動專殺時，會發現專殺驅動無法成功啟動。只有一些強制性的殺毒軟件（如金山系統急救箱），才可以清除。
8、還有一個共同點就是中了該病毒之后，電腦如果只裝有一塊硬盤可以啟動系統，如果電腦裝有兩塊硬盤以上，或者插了U盤。進入系統時就會出現藍屏。（藍屏原因是分區錯誤）
處理方法
重裝系統
格式化C盤，進入dos狀態，運行fdisk/mbr 命令，用以清除掉主引導區的病毒引導代碼，這時候重裝系統就可以了，但是這是在完全安裝起作用的，如果你用是GHOST安裝系統那么還要多做以下幾步：
1、通過GHOST系統盤進入PQ/PM分區工具，一般GHOST系統盤都帶的。
2、 右擊c盤，選擇進階-設為作用，這樣就把MBR引導層重新寫了一遍，這樣在引導層中的病毒也自然被剔除了。
3、 直接用GHOST系統盤安裝系統就OK了。
查殺方法
DOS下手動查殺方法
第一步：找專殺工具：這里推薦使用“一鍵GHOST“，其中的DOS工具箱自帶的小工具DISKRW就可以完美解決。
第二步：殺除MBR病毒
1、清除MBR以外的硬盤保留扇區。安裝或制作好“一鍵GHOST”，開機進入一鍵GHOST，最終出現紅色界面時按ESC鍵退回到主菜單，按方向鍵選擇“DOS工具箱”-->“DISKRW" --> "3.清除" --> "清除(2)“ --> 確定。（注意，盡量使用2010版，更早的版本不能保證有此功能）。
2、修復MBR（關鍵一步，必須做），接著下一步，選擇“4.修復”--> “修復(F)“ --> 確定。
第三步：重裝或恢復系統。在第二步完成后，千萬不要重啟電腦進入WINDOWS了，否則會二次感染。正確的方法是，將系統安裝光盤放入光驅中，重裝系統。或者如果你有本地的系統備份（當然是沒感染病毒之前做過的備份），也可以用“一鍵恢復系統”功能進行恢復。
第四步：全盤殺毒。返回WINDOWS后，需要升級你的殺毒軟件到最新版本（最新病毒庫），然后進行“全盤查殺”，這樣可以把殘留在非系統盤（比如D盤、E盤、F盤）里的病毒寄主文件殺掉，以做到“斬草除根”。
WindowsXP下MBRFix配合360安全衛士查殺
步驟一：開機打開任務管理器，結束（nat.exe）
步驟二：打開360安全衛士，選擇系統修復來修復系統
步驟三：在網上下載一個工具（MBRFix），在XP下運行“CMD”進入DOS模式，運行（MBRFix /drive 0 fixmbr /yes）
重啟后OK
專殺工具
“鬼影”病毒的特征之一是安全軟件不能正常運行，該病毒累計感染量約30萬臺。若網民發現自己電腦上安裝的安全軟件莫名其妙不能正常運行，常見的修復工具也不能正常運行，請嘗試使用金山安全中心發布的“鬼影”病毒專殺工具檢查修復。此工具適用于尚未變種的鬼影病毒，一旦該病毒變種，該專殺將會無效，這里提醒大家要注意上網時的網絡防護，要定期開啟殺軟掃描，金山毒霸已能夠殺滅鬼影母體。“鬼影”病毒傳播的廣度分析金山云安全系統分析該惡意軟件的下載頻率，結合傳播病毒的網站流量分析，評估該病毒的日下載量大約為2-3萬之間。
金山查殺
金山查殺后手動善后
開始-運行-msconfig。
1.選擇“啟動”，把ali前面的勾去掉，單擊應用。
2.開始-運行-win.ini，內容已被更改為
[DownLoad]
exe1=coopen-3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe
exe2=
[ad]
ad1=12
[HomePage]
home=
[Time]
DownLoadIniTime=60
PopAdTime=2
DownLoadLelayTime=1
RunDelayTime=0
FirstRunExeTime=2
FirstPopWidTime=1
cjver=2
cjaddr=
[Link]
Link1=手機圖鈴|http://66.79.168.187:55325/tuling.html
ing.html
替換為
;msconfig ; for 16-bit app support
　　;msconfig [fonts]
　　;msconfig [extensions]
　　;msconfig [mci extensions]
　　;msconfig [files]
　　[Mail]
　　;msconfig MAPI=1
　　[MCI Extensions.BAK]
　　m2v=MPEGVideo
　　mod=MPEGVideo
　　;msconfig aif=MPEGVideo
　　;msconfig aifc=MPEGVideo
　　;msconfig aiff=MPEGVideo
　　;msconfig asf=MPEGVideo
　　;msconfig asx=MPEGVideo
　　;msconfig au=MPEGVideo
　　;msconfig m1v=MPEGVideo
　　;msconfig m3u=MPEGVideo
　　;msconfig mp2=MPEGVideo
　　;msconfig mp2v=MPEGVideo
　　;msconfig mp3=MPEGVideo
　　;msconfig mpa=MPEGVideo
　　;msconfig mpe=MPEGVideo
　　;msconfig mpeg=MPEGVideo
　　;msconfig mpg=MPEGVideo
　　;msconfig mpv2=MPEGVideo
　　;msconfig snd=MPEGVideo
　　;msconfig wax=MPEGVideo
　　;msconfig wm=MPEGVideo
　　;msconfig wma=MPEGVideo
　　;msconfig wmv=MPEGVideo
　　;msconfig wmx=MPEGVideo
　　;msconfig wpl=MPEGVideo
　　;msconfig wvx=MPEGVideo
　　[MSUCE]
　　Advanced=0
　　CodePage=Unicode
　　Font=Arial
保存，退出
病毒變種
最新高危木馬“鬼影2”現身
2011年首款高危木馬“鬼影2”現身網絡，電腦一旦中招就會明顯變慢、無法打開安全軟件、重裝系統甚至格式化硬盤也無濟于事，危害超過當年的“熊貓燒香”、“犇牛”等惡性木馬下載器。360安全中心發現，“鬼影2”主要通過捆綁游戲外掛進行傳播，對20余款熱門網游實施盜號，保守估計該木馬至少已攻擊了10萬臺網民電腦。
經360安全中心分析，“鬼影2”木馬主要威脅Windows XP系統用戶。該木馬之所以難以清除，原因在于它采用了三招“組合拳”：第一招，欺騙用戶關閉安全軟件，“否則就無法達到游戲外掛的透視效果”；第二招，暴力破壞被用戶手動關閉的安全軟件，使其無法正常工作，并阻止用戶重新安裝運行主流安全軟件；第三招，感染電腦硬盤MBR（主引導記錄），使用戶無論是重裝系統、還是格式化硬盤都無法徹底清除木馬。
專門感染MBR的“鬼影”木馬已經出現，然而“鬼影2”比它的原型更為頑固。根據360安全專家石曉虹博士介紹，所有正規安全軟件在發布時都帶有數字簽名，相當于安全軟件的“身份證”。“鬼影2”木馬恰恰利用了這一點，凡是帶著“身份證”的正規安全軟件一律阻止運行，包括國內外11家主流安全廠商的產品。
據介紹，“鬼影2”木馬典型的中招癥狀包括：無法安裝運行主流安全軟件、電腦明顯變慢、CF（穿越火線）等20余款熱門游戲帳號被盜、任務管理器出現1.tmp等隨機數字名稱的可疑進程。
史上最強“鬼影3”現身網絡
繼“鬼影2”后，網絡上又出現了超級頑固的病毒“鬼影3”（只感染Windows XP系統）
鬼影3病毒的表現現象：
1、殺毒軟件反復對beep.sys和c盤根目錄下alg.exe報毒卻無法清除；
2、瀏覽器首頁被篡改為bubu888網址導航（也可能為其它網址導航）；
3、電腦桌面出現“免費電影”、“美女圖片”等廣告圖標，不定期彈出廣告網頁。
4、 同時在后臺下載安裝多個互聯網軟件以賺取推廣費。
5、 個別變種也會下載其它木馬下載器和AV終結者病毒，中毒電腦可能出現游戲帳號被盜等安全風險。
“鬼影”病毒家族主要包括三代“鬼影”病毒，無論重裝系統或是格式化硬盤都無法清除病毒，鬼影3與鬼影1、鬼影2的區別在于它釋放了一個惡意驅動作為“保鏢”，用來禁止任何修復MBR的操作。對殺毒軟件來說，不清除“保鏢”驅動就無法修復MBR，不修復MBR又無法清除“保鏢”驅動，從而陷入“鬼影3”怎么都殺不干凈的死循環中。
鬼影3病毒傳播渠道
1.通過某個視頻專用播放器捆綁傳播
2.通過網絡游戲外掛捆綁病毒傳播
3.通過“不良網站”提供的視頻捆綁病毒
4.通過部份惡意游戲下載站下載的游戲捆綁傳播
“鬼影3”
格式化硬盤都刪不掉的“鬼影”系列病毒又出現了。某安全中心捕獲最新的“鬼影3”病毒后發現，該病毒采用非常頑固的方式強駐受害電腦，常規殺毒技術無法清理，甚至病毒作者似乎也認為“鬼影3”根本不可能被殺掉，并沒有像前兩代“鬼影”一樣破壞殺毒軟件。為此，360已緊急開發出專殺工具，提醒受害網民盡快安裝使用。
據國內某知名殺軟廠商介紹說，“鬼影”系列病毒的共同特點是感染電腦硬盤的主引導記錄（MBR），無論重裝系統或是格式化硬盤都無法清除病毒。在查殺前兩代“鬼影”時，不同廠商推出的專殺工具都會首先修復MBR，然后再全面掃描清除病毒殘骸，然而這個方法在查殺“鬼影3”時卻遇到了難題。
不過，“鬼影3”病毒并非完全無藥可解。某安全中心經過研究，已經找到了突破該病毒“保鏢”驅動的辦法，能夠順利修復MBR并徹底清除病毒。另外，如果網友電腦開啟了百度衛士，也可以在“鬼影3”感染電腦前就將其攔截，避免電腦遭受不必要的損失。
“鬼影3”病毒典型癥狀包括：篡改瀏覽器首頁為bubu888網址導航、桌面出現“免費電影”、“美女圖片”等廣告圖標、不定期彈出網頁廣告、殺毒軟件反復掃出beep.sys和alg.exe文件卻無法清除。如果符合上述情況，網友應立即訪問360官網下載使用專殺工具。
鬼影3病毒查殺以及防御
1.建議網友的電腦開啟了殺毒軟件的監控防御，會在“鬼影3”運行之前就將其攔截，避免電腦遭受不必要的財產損失。
“鬼影”家族進化史
“鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染電腦硬盤的主引導記錄（MBR）。當受害電腦開機時，“鬼影”病毒家族會比Windows系統更早加載到內存中運行，從而使病毒獲得系統控制權。
新鬼影病毒主要通過假冒游戲外掛和電影播放器傳播，其主要攻擊目標是游戲玩家和在線看視頻的網民。中毒后的主要表現是主頁被鎖定，殺毒軟件反復報毒（因病毒母體會下載盜號木馬）。即使格式化重裝，這些現象依舊不能解決。
新鬼影病毒可以改寫特定型號主板BIOS，這很容易讓人聯想到Windows 95時代流行的CIH病毒，當時有殺毒廠商稱CIH病毒可以破壞硬件。中毒后的電腦將完全黑屏，不能啟動。
新鬼影病毒的目的和CIH完全不同，CIH是以破壞系統為主，而新鬼影則是以賺錢為主，不會破壞系統，中毒電腦不會出現黑屏和分區受損。其主要目的是為導航站帶流量，再下載更多木馬或木馬下載器，推廣其他病毒或軟件。
新鬼影病毒先判定當前系統主板BIOS是否為Award BIOS，然后再查找SMI端口，寫入新的BIOS內容，其目的是保護硬盤MBR（主引導記錄）被其他程序改寫。這樣就造成殺毒軟件或一些磁盤編輯工具無法查看或編輯主板MBR信息，從而使病毒難以清除。
鬼影6病毒查殺以及防御
2012年8月，鬼影6出來了。
特征：
1：在C:\Program Files\Internet Explorer 目錄下多了skype.exe， qq.exe，my_705file.exe， my_Xcode.exe等3 4個病毒文件。temp目錄下，也有很多個.exe文件，這些文件可以手動刪除，但是重啟之后就出現，
2：360安全衛士、金山衛士和QQ管家，以及殺毒軟件都不能啟動。
3：電腦開機之后很慢，進程里面有一個skype.exe，結束這個進程之后，過五六分鐘電腦會稍微快一點。
處理辦法：
任何殺毒軟件都沒用，360保險箱和金山鬼影專殺都無效，如果系統是windows2003，360保險箱還會誤傷系統，導致系統無法啟動。GHOST，重裝系統，格盤，甚至分區都不能決絕這問題。
辦法：制作一張帶Diskgen的PE啟動U盤或許光盤，（不會做，百度一下，這個不難。）如果是U盤，用U盤啟動電腦（不會的，百度一下，或許打電話咨詢你的電腦主板廠家），進去PE系統，打開Diskgen，選中你的硬盤，點擊重建MBR，然后保存，退出，重啟電腦。（注意，這時候千萬別急著進系統）,這時候引導區的病毒已經消滅了，但是系統的病毒還沒有消滅，這時候可以格式化C盤，然后重裝系統，或許直接GHOST還原C盤。等系統裝完，或許GHOST還原完畢，病毒就徹底消滅了。
未來編輯
鬼影病毒開創了中國惡意軟件編寫的先河，預計該病毒的源文件將會成為黑色產業鏈中的搶手貨，未來可能會有更多惡意軟件利用“鬼影”病毒的MBR-rootkit技術長期駐留用戶電腦。每一個劃時代的病毒，都會令安全廠商頭疼不已。
========

鬼影病毒的解決辦法

分步閱讀
鬼影病毒2010年3月15日被發現 ? 鬼影2 ?鬼影3 鬼影6接踵而來 ?XP系統深受其害 ?最近幾年可以感染vista、win7、win8 ?但由于win8的安全保護措施，無法再注入病毒驅動程序，無法修改MBR，故在win8上與普通病毒無異。?

工具/原料
帶PE啟動U盤 XP WIN7 WIN8系統
鬼影專殺工具 金山毒霸 360衛士 360殺毒
方法/步驟
1
第一步關閉電腦 ? 重啟用U盤進入diskgen分區軟件進行分區 ?不要進PE分區 ?進入diskgen全部刪除所有分區 ?重建MBR ?然后重新分區 ? 完成后進入ghost裝新系統 ?也可光盤安裝將系統安裝完成 ?這只是第一步 ?病毒沒有被殺死。


2
第二步進入操作系統 ?先裝金山毒霸進行掃描 ?之后下載鬼影專殺工具 ?打開點開始掃描 ?掃描到病毒立即進行刪除 ? 然后重啟電腦 ?用金山毒霸 和鬼影專殺工具 360殺毒 機箱雙層掃描查殺 。下面一張圖片是我13年自己電腦中鬼影病毒截下的圖片


3
最后一次掃描沒有發現病毒 病毒基本已經全部清除了。然后打開自己平時使用電腦的軟件試機 ?速度和中毒完全是兩種不一樣的


END
注意事項
重裝系統前把網線拔掉 下載專殺工具用U盤從其他電腦拷貝過來
重要數據先備份 備份出來的數據都是帶有病毒的 請注意了
========

鬼影病毒分析介紹及手工處理方法

http://netsecurity.51cto.com/art/201212/375005.htm
自2010年鬼影病毒問世以來，可謂是開創了一類新型惡意軟件編寫的先河。經過兩年多的發展，鬼影病毒“繁衍”了一代又一代，形成了特性鮮明的鬼影家族系列。
AD：51CTO 網+ 第十二期沙龍：大話數據之美_如何用數據驅動用戶體驗
自2010年鬼影病毒問世以來，可謂是開創了一類新型惡意軟件編寫的先河。經過兩年多的發展，鬼影病毒“繁衍”了一代又一代，形成了特性鮮明的鬼影家族系列。之所以稱之為鬼影病毒，主要是因為該病毒寄生在磁盤主引導記錄（MBR）當中，即使格式化硬盤，甚至重裝系統，也無法將其完全清除，猶如“鬼影”一般附身于計算機中“陰魂不散”，令人十分惱火。


鬼影病毒是近年來較為罕見的技術型病毒，病毒作者具有高超的編程技巧。該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統之外，并早于操作系統內核先加載，所以哪怕是重做了系統，只要MBR沒重寫，病毒就仍然存在。鬼影病毒目前已發展到第六代，已出現多個變種，且每個變種的行為都不盡相同，但它們都有一個共性，就是修改MBR。


MBR，全稱為Master Boot Record，即硬盤的主引導記錄。位于硬盤的0柱面0磁道1扇區，不屬于任何一個操作系統，是計算機通電開機、主板自檢完成后，訪問硬盤時必須讀取的首個扇區。主引導扇區中記錄著硬盤本身的相關信息以及硬盤各個分區的大小和位置信息，是數據信息的重要入口。如果它受到破壞，硬盤上的基本數據結構信息將會丟失，需要用繁瑣的方式試探性的重建數據結構信息后，才可能重新訪問原先的數據。


主引導扇區的讀取流程如下：


1. BIOS加電自檢；


2. 讀取MBR，當BIOS檢查到硬件正常并與CMOS中的設置相符后，按照CMOS中對啟動設備的設置順序檢測可用的啟動設備；


3. 檢查MBR的結束標志位是否等于55AAH，若不等于則轉去嘗試其他啟動設備，如果沒有啟動設備滿足要求，則顯示"NO ROM BASIC"，然后死機；


4. 當檢測到有啟動設備滿足要求后，BIOS將控制權交給相應啟動設備；


5. 根據啟動設備的MBR中的引導代碼啟動引導程序。


通過上述流程可以看出，MBR對于操作系統來說是多么重要，一旦被破壞或被病毒惡意修改，對于系統來說都是致命的。因鬼影病毒而興起的MBR-Rootkit技術顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢，也算是具有劃時代的意義。本文介紹的是鬼影家族的第三代產品，具有一定代表性。


病毒現象及行為


1） 桌面和快速啟動欄多出偽裝的IE快捷方式，主頁被篡改為http://123.765321.info，且無法修改。




圖1：IE主頁被篡改


2） “文件夾選項”設置被修改，隱藏文件擴展名、不顯示隱藏的文件和文件夾，修改后重啟電腦又被改為隱藏。




圖2：“文件夾選項”設置被修改


3） 任務管理器活動進程中多出一個alg.exe，通過查看進程PID，與XueTr中顯示的進程對比，不難得出，PID為1784的才是正常的系統進程，位于C:\WINDOWS\system32下，而PID為1848的進程其實是C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp偽裝成的alg.exe，迷惑人的。




圖3：病毒釋放Vanlmh.tmp偽裝成系統進程alg.exe


4） 使用XueTr的檢測MBR Rookit功能，提示“未知MBR”。




圖4：XueTr檢測到MBR異常


上述現象只是肉眼看得到的表象，經過詳細分析后得到的病毒行為主要有以下幾個方面：


A. 病毒運行后會打開磁盤獲取磁盤信息，通過計算磁盤的大小來計算用來數據存放的磁盤具體位置。讀取MBR并備份，以便系統初始化時調用原始的MBR完成對系統的引導，然后修改MBR，實現在系統啟動的第一時間獲取控制權。


B. 釋放驅動文件hello_tt.sys并加載，掛鉤SCSI的DriverStartIO函數，用來過濾某些操作實現數據隱藏，并保護病毒修改的MBR不被修復掉。等待5秒，釋放C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp，創建注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run啟動項，名稱為Alg，路徑為C:\alg.exe。


C. 刪除C:\WINDOWS\system32\drivers\beep.sys文件，這樣重啟電腦后hello_tt.sys便可替代beep.sys順利加載到系統中。


D. 修改“文件夾選項”的設置，隱藏文件擴展名，不顯示隱藏文件，在桌面和快速啟動欄創建偽裝的IE快捷方式，修改主頁為http://123.765321.info，聯網下載指定文件。


手工處理方法


1） 結束病毒活動進程并刪除文件。




圖5：結束Vanlmh.tmp進程并刪除文件


2） 刪除病毒創建的Alg啟動項。




圖6：刪除病毒創建的Alg啟動項


3） 摘除hello_tt.sys，替換掉beep.sys掛在SCSI下的鉤子。




圖7：摘除SCSI hook


4） 通過XueTr重置MBR，這里需要事先備份一份正常的MBR，由它來替換被病毒修改的MBR。




圖8：修復MBR


5） 在IE設置中把病毒劫持的主頁修改回來，從其他干凈系統中拷貝一個beep.sys放到系統drivers目錄下。


通讀完全文，是不是覺得網上傳得神乎其神的鬼影病毒不再那么陌生和可怕了？MBR-RootKit技術之前主要在國外技術論壇傳播，近幾年因鬼影病毒的出現才在國內火了一把。在鬼影病毒之前，這項技術少有被黑客利用的案例，但未來可能會有更多惡意軟件利用該技術長期駐留在用戶電腦中。所以對于普通網友來說，多了解一些病毒知識，防患于未然是絕對有好處的。
========

總結

以上是生活随笔為你收集整理的鬼影病毒学习总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。