|
|
以前,常听用户说,中毒了没啥,大不了重装。但现在,这句话将成为历史。金山安全实验室捕获一种被命名为“鬼影”的病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将病毒清除出去。当系统再次重启时,病毒会早于操作系统内核加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何母体程序的特征,病毒就象“鬼影”一样在中毒电脑上阴魂不散。
% @0 _' V/ v; \! r! D. z' t1 \8 a, M# i; s' I; I d2 p9 O0 m4 S
病毒特征:
4 l6 }: _/ [% d1.“鬼影”病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。 , n$ p1 f0 ]# T& U% u& h& ^' X
(分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好)
) b* f Y( k1 k! v4 ?# n% X5 F+ F( V! r: [4 }, W
2.a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
7 Z# h( k6 Z. W/ I(“鬼影”病毒是近年来极为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR-rootkit,主要在国外技术论坛传播,在 “鬼影”病毒之前,这一技术少有被黑客利用的案例。) ! t0 m! H6 r L* }+ K
# m7 N: s7 A, x: s6 ^9 C& ?
3.病毒母体自删除。 . M. {( q% d% H; z: ]1 y \
8 Y7 ~7 W& }7 b& j% j' w4.重启系统后,主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。
7 b+ A% o7 B* O. B& v1 w( n% _" p0 `( a( w$ _
5.b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。 b! }+ u3 A7 \* ]1 G
) N0 U3 b& O6 {: T D6.b驱动会下载av终结者到电脑中,并运行。 4 o6 s$ h2 X1 P, ^, E
! ~& A$ _* F( {* ~+ G0 O7.下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。 7 p' \; T# z( \4 o8 |
" e/ e3 A" V$ J, M
8.该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。 $ m" S6 a+ E; M$ h) D5 M7 v! v: P
8 `6 y* l7 N. z8 o“鬼影”病毒影响力分析
+ `4 J0 Q% S. f' `5 t6 v: S r# {据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。 8 q: U, d$ ^7 J/ o+ j/ A
' x0 Q0 y3 _: V( \6 ?
因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对“鬼影”病毒的专杀工具。
, S( Q7 P2 E; F, f7 _8 L P: N( p2 K2 b x7 J [9 s7 X$ G3 m
发现该病毒的艰难历程 8 U! C. @3 T8 }% N
1.金山安全实验室接到用户报告杀毒软件被破坏,远程协助用户使用多种修复工具、删除相关的可疑文件,均无法解决,远程检查用户电脑,未能成功采集病毒样本。 9 U4 C4 f/ s6 H% z5 q
+ D! q3 U6 E- N. T/ _# b4 m/ k" U2.类似案例持续增加,无一例外均未采集到母体病毒样本,其中让部分用户备份数据后,格式化所有分区重装,但该用户重新系统后,报告中毒现象依旧。
# @+ r, G; f9 t% ~/ K. |+ m9 f2 c; C9 G& {# n3 g
3.尝试让用户回忆最近的上网记录,发现可疑浏览线索 4 x, `, W# z5 l7 l4 r1 m, C2 \
+ G+ _9 s8 d% M1 [" x7 k4.金山安全实验室的工程师访问这些可疑网站,下载可疑程序,重现了中毒现象,确认了最初的感染来源。 6 v2 ]: |* I' e5 c
* J* c2 s4 y( N9 V3 ~6 D“鬼影”病毒传播的广度分析
$ g6 ~* u4 {3 z# _3 k& K/ |金山云安全系统分析该恶意软件的下载频率,结合传播病毒的网站流量分析,评估该病毒的日下载量大约为2-3万之间。 8 P+ a9 k% v2 z% ^* m' }
* X: |9 _9 R% y' G5 ?
' N7 W; d% t S0 v; L
“鬼影”病毒的未来
8 q; e+ P5 g6 Z' `. @, u5 _3 t该病毒开创了中国恶意软件编写的先河,预计该病毒的源文件将会成为黑色产业链中的抢手货,未来可能会有更多恶意软件利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒,都会令安全厂商头疼不已。 & T. o; g4 o8 j* E" l
5 J+ K4 k9 X3 r0 y) L1 \) v" l! _
“鬼影”病毒的防范 0 P) H5 \' t& R# C; T, o
金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意URL加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。
2 ?0 a5 F4 [0 y! E. |# ` |% I1 Z: c) V2 y) l3 T' h
7 @. _% w5 X9 ]1 ?; }- h: B附:相关名词解释
q& z; i" \! g }& H/ g }MBR(Master Boot Record),中文意为主引导记录。电脑通电开机,主板自检完成后,被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区,它的大小是512字节,不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。 / b3 q# m* X% _) R
DOS时代泛滥成灾的引导区病毒多寄生于此。 + }8 [+ a* Z& ? R/ [8 [ D/ I* r2 L) m0 n
, t) m' I& i; u( s6 @
电脑系统开机过程:
' L2 l, @6 L. A1 O0 Q开机通电自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存。-->控制权交给主引导程序-->检查分区表状态,寻找活动的分区-->主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统启动文件。 |
|
IP卡
狗仔卡
发表于 2010-5-8 12:10:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡