最近網路新聞沸沸揚揚,在對岸發現了一支有趣的病毒,中毒之後不是那麼容易檢測出來,並加以排除,因為是寫在MBR裡面,一般的檢測程序,很少檢測到此區塊@@

稍微看了一下,發現實在是很有意思,因為這種類型的病毒已經很少遇到了,不過說實在話,只是比較難發現,並不至於處理不掉,在此就可以發現到防毒軟體好壞的影響力。

鬼影病毒的由來
  以前,常聽用戶說,中毒了沒啥,大不了重裝。但現在,這句話將成為歷史。金山安全實驗室捕獲一種被命名為「鬼影」的病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將病毒清除出去。當系統再次重啟時,病毒會早於操作系統內核加載。而當病毒成功運行後,在進程中、系統啟動加載項裡找不到任何母體程序的特徵,病毒就像「鬼影」一樣在中毒電腦上陰魂不散。
技術講解
  「鬼影」病毒是近年來極為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術一般稱之為MBR-rootkit,主要在國外技術論壇傳播,在 「鬼影」病毒之前,這一技術少有被黑客利用的案例。
病毒特徵
  1.「鬼影」病毒母體運行後,會釋放兩個驅動到用戶電腦中,並加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式,嘗試修改IE屬性。
  2.a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
  3.病毒母體自刪除。
  4.重啟系統後,主引導記錄(MBR)中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載b驅動。
  5.b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。
  6.b驅動會下載av終結者到電腦中,並運行。
  7.下載的av終結者病毒會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。
  8.該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統。
「鬼影」病毒影響力分析

  據金山安全實驗室研究人員透露,在目前中國大陸安全廠商和民間反病毒高手中,能夠完整分析「鬼影」病毒的人屈指可數。
  因病毒寄生於硬盤的主引導記錄(MBR),病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除,金山安全實驗室正在編寫針對「鬼影」病毒的專殺工具。

 

後記

霖:其實只要知道是修改MBR的病毒,用MBR Clear之類的軟件去排除應該是沒什麼大不了的,難在難以發現就是了:P

創作者介紹

台南星電腦維修工作室

台南星電腦快修 發表在 痞客邦 PIXNET 留言(0) 人氣()