(分析:病毒傳播者的目的可能是為了轉移安全廠商的目標,讓真正的病毒之母得到更好的隱藏。)
2.驅動A會修改系統的主引導記錄(mbr),驅動B寫到磁盤,保證病毒優先於系統啟動,病毒文件保存在系統之外。這樣,病毒進入系統後,加載到內存中,卻找不到啟動項、病毒文件和進程模塊。
(“幽靈”病毒是近年來極為罕見的技術病毒,其作者擁有高超的編程技巧。由於WinXP系統的限制,MBR的常見重寫會被系統判定為非法,這也是引導區病毒接近滅絕的重要因素。這種繞過Winxp的安全限制,直接重寫MBR的技術,壹般被稱為MBR-rootkit,主要在國外的技術論壇上傳播。在“幽靈”病毒之前,這種技術很少被黑客使用。)
3.病毒矩陣的自我刪除。
4.重啟系統後,主引導記錄(MBR)中的惡意代碼會監控windows系統的整個啟動過程,發現系統加載ntldr文件時,會插入惡意代碼使其加載B驅動。
5.B驅動加載後,會監控系統中的所有進程模塊,如果有安全軟件的進程,會直接結束。
6.驅動程序B將把av終結者下載到計算機上並運行它。
7.下載的av終結者病毒會修改系統文件,在安全軟件進程中加入大量的鏡像劫持,下載大量的盜號木馬。進壹步盜取用戶的虛擬財產。
8.該病毒只針對Winxp系統,並不能破壞Vista和Win7系統。(此段來自百度百科)
因為Ghost 2改了人民幣主引導記錄,即使硬盤格式化了也是無效的,但還是保存了下來。也許是Ghost 2的作者貪財忘了只要再改壹次人民幣主引導記錄,病毒就會像受傷的兔子壹樣,照常刪除那兩個文件就行了。