台南星電腦維修工作室

最近網路新聞沸沸揚揚，在對岸發現了一支有趣的病毒，中毒之後不是那麼容易檢測出來，並加以排除，因為是寫在MBR裡面，一般的檢測程序，很少檢測到此區塊＠＠

稍微看了一下，發現實在是很有意思，因為這種類型的病毒已經很少遇到了，不過說實在話，只是比較難發現，並不至於處理不掉，在此就可以發現到防毒軟體好壞的影響力。

鬼影病毒的由來
　　以前，常聽用戶說，中毒了沒啥，大不了重裝。但現在，這句話將成為歷史。金山安全實驗室捕獲一種被命名為「鬼影」的病毒，該病毒寄生在磁盤主引導記錄（MBR），即使格式化重裝系統，也無法將病毒清除出去。當系統再次重啟時，病毒會早於操作系統內核加載。而當病毒成功運行後，在進程中、系統啟動加載項裡找不到任何母體程序的特徵，病毒就像「鬼影」一樣在中毒電腦上陰魂不散。
技術講解
　　「鬼影」病毒是近年來極為罕見的技術型病毒，病毒作者具有高超的編程技巧。因WinXP系統的限制，一般手法改寫MBR會被系統判定為非法，這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制，直接改寫MBR的技術一般稱之為MBR-rootkit，主要在國外技術論壇傳播，在 「鬼影」病毒之前，這一技術少有被黑客利用的案例。
病毒特徵：
　　1.「鬼影」病毒母體運行後，會釋放兩個驅動到用戶電腦中，並加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式，嘗試修改IE屬性。
　　2.a驅動會修改系統的主引導記錄（mbr)，並將b驅動寫入磁盤，保證病毒是優先於系統啟動，且病毒文件保存在系統之外。這樣進入系統後，病毒加載入內存，但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
　　3.病毒母體自刪除。
　　4.重啟系統後，主引導記錄（MBR）中的惡意代碼會對windows系統的整個啟動過程進行監控，發現系統加載ntldr文件時，插入惡意代碼，使其加載b驅動。
　　5.b驅動加載起來後，會監視系統中的所有進程模塊，若存在安全軟件的進程，直接結束。
　　6.b驅動會下載av終結者到電腦中，並運行。
　　7.下載的av終結者病毒會修改系統文件，對安全軟件進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產。
　　8.該病毒只針對Winxp系統，尚不能破壞Vista和Win7系統。
「鬼影」病毒影響力分析

　　據金山安全實驗室研究人員透露，在目前中國大陸安全廠商和民間反病毒高手中，能夠完整分析「鬼影」病毒的人屈指可數。
　　因病毒寄生於硬盤的主引導記錄（MBR），病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具，在已經中毒的情況下，很難使用現有工具完成病毒清除，金山安全實驗室正在編寫針對「鬼影」病毒的專殺工具。

後記

霖：其實只要知道是修改MBR的病毒，用MBR Clear之類的軟件去排除應該是沒什麼大不了的，難在難以發現就是了：Ｐ