技术分享 “鬼影病毒”侵袭网吧, 强力破坏力+清除方法 [复制链接]

网吧115
三国LV3
技术中心 25974 0 2010-11-9 14:35:30
本帖最后由 网吧115 于 2010-11-9 14:36 编辑

    鬼影病毒颠覆了网吧通过恢复系统解决中毒的方法。恢复系统对付鬼影可能并不管用,中鬼影病毒后给网吧维护带来了极大的负担。
    金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
  金山安全反病毒专家表示,“一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。
  李铁军表示,“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统;全新的病毒技术,突破了普通杀毒软件的自保护,“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。
  安全软件失效电脑明显变慢
  金山安全实验室的研究人员分析发现,这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的,目前的日感染电脑约2-3万台。“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。 立即下载专杀
  
  罕见技术型病毒源于国外
  “鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对Winxp系统,该病毒尚不能破坏Vista和Windows7系统。
  另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对“鬼影”病毒的专杀工具。
  磁盘主引导记录(MBR)简介:
  MBR(MasterBootRecord),中文意为主引导记录。电脑开机后,主板自检完成后,被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR,它的大小是512字节,它是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。
  电脑系统开机过程介绍:
  开启电源开机自检–》主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动–》系统BIOS将主引导记录(MBR)读入内存。然后,将控制权交给主引导程序,再检查分区表的状态,寻找活动的分区。最后,由主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统。
  “鬼影病毒”的手动清除方法
  好了,直接说怎么清除。
  第一步:找专杀工具
  其实现在并没有十分有效的专杀工具,因为病毒采用的是DOS时代古老手法,一般杀毒软件只能工作于WINDOWS下,是不能根治的。这里推荐使用“一键GHOST“,它可以运行在DOS状态下,其中的DOS工具箱自带的小工具DISKRW就可以完美解决,一般的DOS工具下都有这个,如果没有你也可以这里下载。
你可以下载硬盘版(http://www.onlinedown.net/soft/33492.htm)、
也可以使用光盘版(http://www.onlinedown.net/soft/22792.htm)、
或者优盘版(http://www.onlinedown.net/soft/48620.htm),都可以。
  第二步:杀除MBR病毒
  1、清除MBR以外的硬盘保留扇区。(这一步我不能保证真的管用,反正用了更保险。)
  安装或制作好“一键GHOST”,开机进入一键GHOST,最终出现红色界面时按ESC键退回到主菜单,按方向键选择“DOS工具箱”--》“DISKRW“ --》 ”3.清除“ --》 ”清除(2)“ --》 确定。(注意,尽量使用2010版,更早的版本不能保证有此功能)。
  2、修复MBR(关键一步,必须做)
  接着上一步,选择“4.修复”--》 “修复(F)“ --》 确定。
  第三步:重装或恢复系统
  在第二步完成后,千万不要重启电脑进入WINDOWS了,否则会二次感染。正确的方法是,将系统安装光盘放入光驱中,重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份),也可以用“一键恢复系统”功能进行恢复。
  第四步:全盘杀毒
  返回WINDOWS后,需要升级你的杀毒软件到最新版本(最新病毒库),然后进行“全盘查杀”,这样可以把残留在非系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉,以做到“斩草除根”。
  与网络流行方法的比较:
  1、清除MBR时,网络流行FDISK /MBR法,这个方法早就过时了,一个原因是无识别大硬盘,另外因为写入的是WIN98的MBR的代码,兼容性不好(启动失败),不如用我上面提到的DISKRW的修复MBR功能进行修复,因为DISKRW自带的WINXP的MBR代码,兼容性好。
  2、网络还流行MHDD的ERASE法,这个更不安全了,因为是将硬盘全部低格,硬盘上的数据将全部丢失,所以最不可取。而我上面提到的方法是不破坏D盘及以后分区的数据的,最多仅需要重装C盘或恢复C盘。
  最后,声明一下,因为不知道病毒具体细节,本人也未曾感染过这个病毒,仅凭网络获得一些零散的信息得出结论,所以不能保证100%成功,但绝无害处,请大家放心去做,只要看好每一步提示即可。“鬼影病毒”颠覆传统 强力破坏力+清除方法
您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29041 个
  • 话题数: 9629 篇
  • 巅峰数: 5500 人