怎样判断计算机是否感染鬼影病毒?怎样完全清除鬼影病毒?
鬼影病毒,隐藏性比较好,其编写思路另辟捷径,也许有助于未来的病毒编写,但其危害性是不容忽视,TA寄生于磁盘主引导记录(MBR)中,我们所常用的“治百病(重装系统)”对其毫无影响,形同“鬼影”一般“阴魂不散”。阅读下文了解判断电脑是否感染鬼影病毒以及彻底清理鬼影病毒的方法。
据金山安全实验室工程师说,“鬼影”病毒是较为罕见的技术型病毒,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。
另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山已经推出了鬼影专杀工具。
金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。
病毒特征
1、无需寄主 结束所有杀毒软件。
该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒。
2、颠覆传统 重装系统无法清除。
一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),即使用户重装了系统,仍无法将其完全清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统。
3、安全软件失效 电脑明显变慢
“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
工作原理
1、“鬼影”病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。
(分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好)
2、a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
3、病毒母体自删除。
4、重启系统后,主引导记录(MBR)中的恶意代码会对Windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。
5、b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
6、b驱动会下载av终结者到电脑中,并运行。
7、下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。
8、该病毒只针对WinXP系统,尚不能破坏Vista和Win7系统。(目前最新的变种可以感染Vista、Win7和Win8,但在Win8/Win8.1无法破坏MBR,无法注入病毒驱动程序,比较容易处理)
病毒症状
1、电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发现反复重装系统后问题依旧无法解决。
2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。rpcss.dll,ddraw.dll是盗号木马常修改的系统dll。
3、QQ号码被盗,可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。
4、进程中存在iexplore.exe进程并指向一个不正常的网站。
5、鬼影共同特征就是进程里有ali.exe
6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式,而且删不掉。
7、鬼影病毒还有一个特征就是任何软件(有些例外如360急救箱),会在7——12秒内自动关闭,一些鬼影病毒可以屏蔽一些“纯鬼影专杀”,当启动专杀时,会发现专杀驱动无法成功启动。只有一些强制性的杀毒软件(如金山系统急救箱),才可以清除。
8、还有一个共同点就是中了该病毒之后,电脑如果只装有一块硬盘可以启动系统,如果电脑装有两块硬盘以上,或者插了U盘。进入系统时就会出现蓝屏。(蓝屏原因是分区错误)
鬼影病毒处理方法:
一、重建引导并重装系统
格式化C盘,进入dos状态,运行:
fdisk/mbr
推荐系统
电脑公司Ghost Win7 Sp1 装机万能版2022年5月(32位) 提供下载
语言:中文版系统大小:3.13GB系统类型:新萝卜家园 Ghost Win7 x64 SP1 极速版2022年4月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2022年4月(32位) ISO镜像高速下载
语言:中文版系统大小:3.13GB系统类型:新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2022年5月(32位) ISO镜像高速下载
语言:中文版系统大小:3.13GB系统类型:电脑公司Ghost Win7 x64 Sp1装机万能版2022年5月(64位) ISO镜像免费下载
语言:中文版系统大小:3.91GB系统类型:笔记本&台式机专用系统 GhostWin7 32位旗舰版2022年5月(32位) ISO镜像免费下载
语言:中文版系统大小:3.13GB系统类型:番茄花园GhostWin7 SP1电脑城极速装机版2022年5月(32位) 最新高速下载
语言:中文版系统大小:3.13GB系统类型:深度技术Ghost Win7 Sp1 电脑城万能装机版2022年5月(32位) ISO高速下载
语言:中文版系统大小:3.13GB系统类型:
相关文章
- WinXP系统怎样看显存?看显存的办法
- WinXP系统如何设置一台电脑2个显示器?
- WinXP系统Svchost.exe应用程序出错怎样办?
- WinXP提示系统管理员设置了系统策略防范进行此安装的办法
- WinXP系统QQ图标不见了怎样办?
- WinXP系统电脑图标变大了怎样处理?
- WinXP系统收藏夹备份的办法
- WinXP系统虚拟内存最小值太低怎样办?
- WinXP系统打开页面出现乱码的处理办法
- WinXP页面提示Sysfader iexplore.exe应用程序出错的处理办法
- 如何处理WinXP光驱自动弹出的问题?
- 为啥Word只能用安全模式打开?Word不用安全模式打开的办法
- WinXP组策略提示“MMC无法创建管理单元”怎样办?
- WinXP访问工作组计算机密码的办法
热门系统
热门文章
常用系统
- 1电脑公司Ghost Win7 x64 Sp1装机万能版2018年10月(64位) ISO镜像免费下载
- 2电脑公司 装机专用系统Windows10 x64 企业版2018年10月(64位) ISO镜像快速下载
- 3深度技术 GHOSTXPSP3 电脑城极速装机版 2020年8月 ISO镜像高速下载
- 4电脑公司Ghost Win8.1 x32 新春特别 精选纯净版2022年2月(免激活) ISO镜像高速下载
- 5新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2019年6月 ISO镜像高速下载
- 6新萝卜家园Ghost系统 Win8.1 x32位 极速纯净版2018年09月(自动激活)ISO镜像下载
- 7深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2021年6月(32位) ISO镜像免费下载
- 8笔记本系统Ghost Win8.1 (X64) 全新纯净版2020年11月(永久激活) 提供下载
- 9新萝卜家园电脑城专用系统 Windows10 x86 企业版2020年10月(32位) ISO镜像高速下载