鬼影病毒，隱藏性比較好，其編寫思路另辟捷徑，也許有助于未來的病毒編寫，但其危害性是不容忽視，TA寄生于磁盤主引導記錄（MBR）中，我們所常用的“治百病（重裝系統(tǒng)）”對其毫無影響，形同“鬼影”一般“陰魂不散”。閱讀下文了解判斷電腦是否感染鬼影病毒以及徹底清理鬼影病毒的方法。

　　據(jù)金山安全實驗室工程師說，“鬼影”病毒是較為罕見的技術(shù)型病毒，直接改寫MBR的技術(shù)主要在國外技術(shù)論壇傳播，在“鬼影”病毒之前，這一技術(shù)少有被黑客實際大規(guī)模利用的案例。

　　另據(jù)金山安全實驗室研究人員透露，在目前國內(nèi)安全廠商和民間反病毒高手中，能夠完整分析“鬼影”病毒的人屈指可數(shù)。因病毒寄生于硬盤的主引導記錄（MBR），病毒釋放的驅(qū)動程序能夠破壞大多數(shù)安全工具和系統(tǒng)輔助工具，在已經(jīng)中毒的情況下，很難使用現(xiàn)有工具完成病毒清除，金山已經(jīng)推出了鬼影專殺工具。

　　金山毒霸已經(jīng)升級，可查殺傳播“鬼影”病毒的母體文件，避免更多用戶受“鬼影”病毒之害，用戶只需要在線升級即可獲得相應防御能力。金山網(wǎng)盾已將傳播該病毒的惡意網(wǎng)頁加入阻止訪問的列表，防止更多用戶下載這個神秘的“鬼影”病毒。

　　病毒特征

　　1、無需寄主 結(jié)束所有殺毒軟件。

　　該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統(tǒng)之外，無文件、無系統(tǒng)啟動項、無進程模塊，比系統(tǒng)運行還早，結(jié)束所有殺毒軟件，下載av終結(jié)者，盜號木馬，ie主頁修改等大量多品種病毒。

　　2、顛覆傳統(tǒng) 重裝系統(tǒng)無法清除。

　　一般的電腦病毒是Windows系統(tǒng)下的應用程序，在Windows加載之后才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導記錄（MBR），即使用戶重裝了系統(tǒng)，仍無法將其完全清除。當系統(tǒng)再次重啟時，該病毒會早于操作系統(tǒng)內(nèi)核先行加載。而當病毒成功運行后，在進程中、系統(tǒng)啟動加載項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。“鬼影”病毒是國內(nèi)首個引導區(qū)下載者病毒，顛覆了傳統(tǒng)病毒的感染特點以及用戶處理病毒問題的思維定勢，不僅做到了“三無”特性——無文件、無系統(tǒng)啟動項、無進程模塊，而且即使用戶重裝了系統(tǒng)，該病毒依然會再次進入用戶新系統(tǒng)。

　　3、安全軟件失效 電腦明顯變慢

　　“鬼影”病毒入侵后，會釋放驅(qū)動程序改寫硬盤MBR（主引導記錄），驅(qū)動程序在開機過程中攻擊眾多殺毒軟件，令殺毒軟件失效，再下載傳統(tǒng)的AV終結(jié)者木馬下載器，最終目的依然是通過傳播盜號木馬，竊取用戶虛擬財產(chǎn)牟利。中毒后，最直觀的現(xiàn)象是安全軟件無法正常運行，電腦明顯變慢，IE主頁被改。

　　工作原理

　　1、“鬼影”病毒母體運行后，會釋放兩個驅(qū)動到用戶電腦中，并加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式，嘗試修改IE屬性。

　　（分析：病毒傳播者這樣做的目的可能是為了轉(zhuǎn)移安全廠商的目標，便于病毒的真正母體隱藏得更好）

　　2、a驅(qū)動會修改系統(tǒng)的主引導記錄（mbr），并將b驅(qū)動寫入磁盤，保證病毒是優(yōu)先于系統(tǒng)啟動，且病毒文件保存在系統(tǒng)之外。這樣進入系統(tǒng)后，病毒加載入內(nèi)存，但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。

　　3、病毒母體自刪除。

　　4、重啟系統(tǒng)后，主引導記錄（MBR）中的惡意代碼會對Windows系統(tǒng)的整個啟動過程進行監(jiān)控，發(fā)現(xiàn)系統(tǒng)加載ntldr文件時，插入惡意代碼，使其加載b驅(qū)動。

　　5、b驅(qū)動加載起來后，會監(jiān)視系統(tǒng)中的所有進程模塊，若存在安全軟件的進程，直接結(jié)束。

　　6、b驅(qū)動會下載av終結(jié)者到電腦中，并運行。

　　7、下載的av終結(jié)者病毒會修改系統(tǒng)文件，對安全軟件進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產(chǎn)。

　　8、該病毒只針對WinXP系統(tǒng)，尚不能破壞Vista和Win7系統(tǒng)。（目前最新的變種可以感染Vista、Win7和Win8，但在Win8/Win8.1無法破壞MBR，無法注入病毒驅(qū)動程序，比較容易處理）

　　病毒癥狀

　　1、電腦非常卡，操作程序有明顯的停滯感，常見殺毒軟件無法正常打開，同時發(fā)現(xiàn)反復重裝系統(tǒng)后問題依舊無法解決。

　　2、系統(tǒng)文件被感染殺毒查殺以后提示找不到相應的dll或者系統(tǒng)功能不正常。rpcss.dll，ddraw.dll是盜號木馬常修改的系統(tǒng)dll。

　　3、QQ號碼被盜，可被黑客用來傳播廣告等。魔獸、DNF、天龍八部、夢幻西游等游戲賬號被盜。

　　4、進程中存在iexplore.exe進程并指向一個不正常的網(wǎng)站。

　　5、鬼影共同特征就是進程里有ali.exe

　　6、你的電腦桌面上出現(xiàn)了一個討厭的“播放器”快捷方式，而且刪不掉。

　　7、鬼影病毒還有一個特征就是任何軟件（有些例外如360急救箱），會在7——12秒內(nèi)自動關(guān)閉，一些鬼影病毒可以屏蔽一些“純鬼影專殺”，當啟動專殺時，會發(fā)現(xiàn)專殺驅(qū)動無法成功啟動。只有一些強制性的殺毒軟件（如金山系統(tǒng)急救箱），才可以清除。

　　8、還有一個共同點就是中了該病毒之后，電腦如果只裝有一塊硬盤可以啟動系統(tǒng)，如果電腦裝有兩塊硬盤以上，或者插了U盤。進入系統(tǒng)時就會出現(xiàn)藍屏。（藍屏原因是分區(qū)錯誤）

　　鬼影病毒處理方法：

　　一、重建引導并重裝系統(tǒng)

　　格式化C盤，進入dos狀態(tài)，運行：

fdisk/mbr

網(wǎng)站模版