當前位置: 首頁 » 行業資訊 » 新聞資訊 » 網絡點評 » 正文

新型網絡病毒——鬼影:殺毒軟件新的挑戰

放大字體  縮小字體 發布日期:2010-03-17  瀏覽次數:805
核心提示:“鬼影”病毒是第一個引導區下載者病毒,超越了傳統的引導區病毒和下載者病毒,不光做到了三無特性,而且就算用戶重裝
“鬼影”病毒是第一個引導區下載者病毒,超越了傳統的引導區病毒和下載者病毒,不光做到了三無特性,而且就算用戶重裝了系統,他也會陰魂不散的再次進入用 戶新系統,全新的結束手法,突破殺毒軟件的自保護。“鬼影”病毒是一個劃時代的病毒。
3月15日,金山安 全實驗室捕獲一種被命名為“鬼影”的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啟時,該病 毒會早于操作系統內核先行加載。而當病毒成功運行后,在進程中、系統啟動加載項里找不到任何異常,病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。“鬼 影”病毒也因此成為國內首個“引導區”下載者病毒。
該病毒一旦進入電腦,就像惡魔一樣,隱藏在系統之外,無文件、無系統啟動項、無進程模塊,比系統運行還早,結束所有殺毒軟件,下載av終結者, 盜號木馬,ie主頁修改等大量多品種病毒,最重要的是重裝系統都不能清除該病毒。該病毒開創了中國惡意軟件編寫的先河,預計該病毒的源文件將會成為黑色產業鏈 中的搶手貨,未來可能會有更多惡意軟件利用“鬼影”病毒的MBR- rootkit技術長期駐留用戶電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已。

“鬼影”病毒具體行為:

1、該病毒偽裝為某共享軟件,欺騙用戶下載安裝。
病毒文件中包含3部分文件:
A、原正常的共享軟件。
B、“鬼影”病毒,修改系統引導區(mbr),結束殺軟,下載AV終結者病毒。
C、捆綁IE首頁篡改器,修改用戶瀏覽器首頁,桌面添加多余的快捷方式。
2,“鬼影”病毒運行后,會釋放2個驅動到用戶電腦中,并加載。
3,驅動會修改系統的引導區(mbr),并將b驅動寫入磁盤,保證病毒是優先于系統啟動,且病 毒文件保存在系統之外。這樣進入系統后,病毒加載入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
4,病毒母體自刪除。
5,重啟系統后,存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控,發 現系統加載ntldr文件時,插入惡意代碼,使其加載寫入引導區第五個扇區的b驅動。
6,b驅動加載起來后,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。
7,b驅動會下載av終結者到電腦中,并運行。
8,av終結者會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號木馬。進一 步盜取用戶的虛擬財產。

鬼影病毒清除方法:

      對于鬼影類的病毒,在WINDOWS時代之所以很少見,并不是因為做不到——早在1998年,CIH就告訴病毒編寫者如何利用驅動技術繞開 WINDOWS的核心保護機制——而是因為這么做的投入產出不成比例。DOS下的自啟動項目很少,病毒要自啟動的話,除了寄生于文件,就只能依靠MBR 了;而WINDOWS的自啟動項目實在是太多了,隨便在注冊表里改一下,一般用戶根本看不出來病毒已經啟動,所以沒有人純粹為了一個自啟動的目的去寫個驅 動來改動MBR,這純屬費力不討好。其實從這點就可以看出,寫WINDOWS下的病毒木馬,技術門檻比DOS下要低一些。
        不過鬼影病毒作者還是有一點創意:他將存放在磁盤第5扇區的病毒的主要代碼插入到ntldr文件中,這樣就解決了自身代碼在WINDOWS下的加載 問題,比寫個中斷服務程序要簡單得多。這一思路也為真正的BIOS病毒提供了一個非常好的實現方法。
        解決鬼影病毒的方法其實也很簡單,格式化C盤后,再重裝系統之前,先用 fdisk/mbr 命令清除掉主引導區的病毒引導代碼,再重裝系統就沒事了。
 
 
[ 行業資訊搜索 ]  [ 加入收藏 ]  [ 告訴好友 ]  [ 打印本文 ]  [ 違規舉報 ]  [ 關閉窗口 ]

 
0條 [查看全部]  相關評論

 
推薦圖文
推薦行業資訊
點擊排行
 
網站首頁 | 付款方式 | 聯系我們 | 意見投訴 | 法律聲明 | 網站地圖 | 排名推廣 | 廣告服務 | 積分換禮 | 網站留言 | RSS訂閱 | 鄂ICP備12003343號
 
七星彩走势图表