幽靈病毒是指寄生在磁性中的病毒[5]?磁盤主引導記錄(MBR),即使格式化重裝,也無法清除病毒。病毒寄生在磁盤的主引導記錄(MBR)上,即使格式化重裝[5]?系統,也無法清除病毒。當系統再次重啟時,病毒會先於操作系統內核加載。但是當病毒運行成功後,在進程和系統啟動插件中找不到任何異常,病毒就像是中毒電腦上的幽靈。
幽靈病毒的特征
以前經常聽用戶說中毒沒關系,大不了重裝系統。但現在,這句話將成為歷史。15年3月,金山安全實驗室捕獲了壹個名為“Ghost”的計算機病毒,該病毒寄生在磁盤的主引導記錄(MBR)中。即使系統被格式化並重新安裝,它也不能被刪除。當系統再次重啟時,病毒會先於操作系統內核加載。但是當病毒運行成功後,在進程和系統啟動插件中找不到任何異常,病毒就像是中毒電腦上的幽靈。
推翻傳統重裝系統無法移除。金山安全反病毒專家表示,“壹般的電腦病毒都是Windows系統下的應用程序,加載Windows後運行。“幽靈”病毒的主要代碼是寄生在硬盤上的主引導記錄(MBR),在計算機啟動過程中,在系統核心程序運行之前,直接加載到計算機內存中。安全軟件無法攔截已經寄生在MBR中的病毒。因為病毒比安全軟件開始的早。
李鐵軍表示,“幽靈”病毒是國內首個下載型病毒,顛覆了傳統病毒的感染特征和用戶處理病毒問題的思維定勢,不僅實現了“三無”特征——無文件、無系統啟動項、無進程模塊,而且即使用戶重裝系統,病毒仍會再次進入用戶的新系統;全新的病毒技術突破了常見殺毒軟件的自我保護,“幽靈”病毒可以說是劃時代的計算機病毒。
安全軟件失效,電腦明顯變慢。金山安全實驗室的研究人員發現,這種“幽靈”病毒捆綁了壹些* * *軟件,安裝到電腦中。目前每天大約有2-3萬臺電腦被感染。“幽靈”病毒入侵後,會釋放驅動重寫硬盤的MBR(主引導記錄)。該驅動程序在啟動過程中攻擊許多殺毒軟件,使殺毒軟件失效,然後下載傳統的AV終結者特洛伊下載器。最終目的仍然是傳播盜號木馬,盜取用戶虛擬財產牟利。中毒後最直觀的現象就是安全軟件無法正常運行,電腦明顯變慢,IE主頁被改了。
源於國外的罕見技術病毒。Ghost病毒是近年來罕見的技術病毒,其作者擁有高超的編程技巧。由於WinXP系統的限制,MBR的常見重寫會被系統判定為非法,這也是引導區病毒接近滅絕的重要因素。這種繞過Winxp的安全限制,直接重寫MBR的技術主要在國外的技術論壇上傳播。在“幽靈”病毒之前,這種技術很少被黑客大規模使用。金山安全實驗室的工程師表示,目前“幽靈”病毒只針對Winxp系統,病毒無法破壞Vista和Windows 7系統。
據金山安全實驗室的研究人員介紹,目前國內安全廠商和民間反病毒專家中,能夠完整分析“幽靈”病毒的屈指可數。由於該病毒寄生在硬盤的主引導記錄(MBR)上,因此該病毒釋放的驅動程序可以破壞大部分安全工具和系統輔助工具。在中毒的情況下,很難使用現有的工具清除病毒。金山安全實驗室正在編寫“幽靈”病毒專用工具。
金山毒霸進行了升級,可以查殺傳播“幽靈”病毒的父文件,防止更多用戶受到“幽靈”病毒的危害。用戶只需在線升級即可獲得相應的防禦能力。金山網盾已將傳播病毒的惡意網頁添加到阻止訪問列表中,以防止更多用戶下載這種神秘的“幽靈”病毒。Ghost病毒分析報告
壹.導言
病毒壹旦進入計算機,就像壹個惡魔,隱藏在系統之外,沒有文件,沒有系統啟動項,沒有進程模塊。它比系統運行得早。做完所有殺毒軟件,下載了av終結者,盜號木馬,ie主頁修改等諸多病毒,最重要的是重裝系統也無法清除病毒。
二、具體行為
1,該病毒偽裝成* * *軟件,欺騙用戶下載安裝。
病毒文件包含三個部分:
壹、原來正常的* * *享受軟件。
b、“幽靈”病毒,修改系統引導區(mbr),結束軟件查殺,下載AV終結者病毒。
c、綁定IE主頁篡改,修改用戶的瀏覽器主頁,在桌面添加多余的快捷方式。
2.“ghost”病毒運行後,會向用戶電腦釋放兩個驅動程序並加載。
3.驅動會修改系統的引導區(mbr),將B驅動寫入磁盤,保證病毒優先於系統啟動,病毒文件保存在系統之外。這樣,病毒進入系統後,加載到內存中,卻找不到啟動項、病毒文件和進程模塊。
4、刪除病毒矩陣。
5.重啟系統後,存在於引導區的惡意代碼會監控windows系統的整個啟動過程。當發現系統加載ntldr文件時,就插入惡意代碼,使其加載寫在引導區第五扇區的B盤。
6.B驅動加載後,會監控系統中的所有進程模塊,如果有安全軟件的進程,會直接結束。
7.驅動程序B將把av終結者下載到計算機上並運行它。
8.av終結者會修改系統文件,在安全軟件進程中加入大量鏡像劫持,下載大量盜號木馬。進壹步盜取用戶的虛擬財產。
9.該病毒只針對Winxp系統,並不能破壞Vista和Win7系統。
三。摘要
“幽靈”病毒是首個在引導區下載的病毒,超越了傳統的引導區病毒和下載病毒。不僅具備三大特點,而且即使用戶重裝系統,也會再次纏上用戶的新系統,全新的結束方式,殺毒軟件自我保護的突破。“幽靈”病毒是壹種劃時代的病毒。幽靈病毒的處理方法
首先,當妳已經感染了這種病毒,那麽妳就不必緊張。雖然說這個病毒即使重裝也不能刪除,只是方法不對。這也是為什麽重裝後病毒還會繼續發作的原因。下面我就告訴妳如何治療幽靈病毒。
首先格式化c盤,然後進入dos狀態,運行fdisk/mbr命令清除主引導區的病毒引導代碼。這個時候重裝系統是可以的,但是這是在完全安裝的情況下起作用的。如果您安裝了GHOST系統,您必須執行以下步驟。
1,通過GHOST系統盤進入PQ/PM分區工具,壹般是GHOST系統盤自帶的。
2.右鍵驅動器C,選擇高級-設置功能,這樣MBR引導層就重寫了,引導層的病毒自然就消滅了。
3.直接用GHOST系統盤安裝系統就可以了。
病毒清除方法
在WINDOWS時代很少見,不是因為做不到——早在1998,CIH就告訴病毒編寫者如何利用驅動技術繞過WINDOWS的核心保護機制——而是因為投入和產出不成比例。DOS下很少有自啟動的項目。病毒要想自啟動,除了寄生在文件上,只能依靠MBR。但是WINDOWS中的自啟動項目太多了。只需要在註冊表中更改它們,壹般用戶根本看不出病毒已經啟動,所以沒有人純粹為了自啟動而寫驅動更改MBR,這純粹是吃力不討好。其實從這壹點就可以看出,WINDOWS下寫病毒木馬的技術門檻比DOS下低。
不過這個病毒的作者還是有點創意的:他把存儲在磁盤第五扇區的病毒主代碼插入到ntldr文件中,從而解決了WINDOWS下加載自己代碼的問題,這比寫中斷服務程序簡單多了。這個思路也為真正的BIOS病毒提供了壹個非常好的實現方法。
這個病毒的解決方法其實很簡單,但是我還是要提醒妳,硬盤有價值的數據是無價的,所以不要傻乎乎的格式化硬盤,因為它無法修復MBR,根本不會重寫MBR DBR數據的三個區域。最簡單明了的方法就是使用windows系統安裝盤自帶的修復功能,按住R鍵進入修復平臺。稍等片刻——進入命令提示符——輸入帳戶名密碼,然後在命令提示符下輸入Fixmbr,然後會提示是否更新mbr主引導記錄。選擇Yes,然後輸入Fixboot修復引導區並引導到這個主引導區。病毒修復後會自然清除,然後使用WinPE工具箱進入WinPE系統進行殺毒。Ghost病毒查殺工具
“幽靈”病毒的壹個特點就是安全軟件無法正常運行。目前該病毒累計感染量約為30萬單位。如果網友發現自己電腦上安裝的安全軟件無故無法正常工作,常用的修復工具也無法正常工作,請盡量使用金山安全中心發布的“幽靈”病毒查殺工具進行檢查修復。
下載地址:
/soft/softdown.asp?softid=60102