什么是鬼影病毒，听说重装系统都没用？

3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒也因此成为国内首个“引导区”下载者病毒。
鬼影病毒特征——重装系统也杀不掉　　以前，常听用户说，中毒了没关系，大不了重装系统。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。

　　颠覆传统  重装系统无法清除

　　金山安全反病毒专家表示，“一般的电脑病毒是Windows系统下的应用程序，在 Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR）,在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒，安全软件无法进行拦截。因病毒比安全软件的启动还要早。

　　李铁军表示，“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统；全新的病毒技术，突破了普通杀毒软件的自保护，“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。

　　安全软件失效 电脑明显变慢

　　金山安全实验室的研究人员分析发现，这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的，目前的日感染电脑约2-3万台。“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。

　　罕见技术型病毒  源于国外

　　“鬼影”病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说，目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows 7系统。

　　另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。

　　金山毒霸已经升级，可查杀传播“鬼影”病毒的母体文件，避免更多用户受“鬼影”病毒之害，用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。 “鬼影”病毒的未来：　　[2]该病毒开创了中国恶意软件编写的先河，预计该病毒的源文件将会成为黑色产业链中的抢手货，未来可能会有更多恶意软件利用“鬼影”病毒的MBR- rootkit技术长期驻留用户电脑。每一个划时代的病毒，都会令安全厂商头疼不已。
“鬼影”病毒分析报告
　　一、简介

　　该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒，最重要的是重装系统都不能清除该病毒。

　　二、具体行为

　　1、该病毒伪装为某共享软件，欺骗用户下载安装。

　　病毒文件中包含3部分文件：

　　A、原正常的共享软件。

　　B、“鬼影”病毒，修改系统引导区(mbr)，结束杀软，下载AV终结者病毒。

　　C、捆绑IE首页篡改器，修改用户浏览器首页，桌面添加多余的快捷方式。

　　2，“鬼影”病毒运行后，会释放2个驱动到用户电脑中，并加载。

　　3，驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

　　4，病毒母体自删除。

　　5，重启系统后，存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。

　　6，b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

　　7，b驱动会下载av终结者到电脑中，并运行。

　　8，av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

　　三、小结

　　“鬼影”病毒是第一个引导区下载者病毒，超越了传统的引导区病毒和下载者病毒，不光做到了三无特性，而且就算用户重装了系统，他也会阴魂不散的再次进入用户新系统，全新的结束手法，突破杀毒软件的自保护。“鬼影”病毒是一个划时代的病毒。
　　
病毒防治办法：
　　 磁盘主引导记录（MBR）简介：
　　

　　MBR（Master Boot Record）,中文意为主引导记录。电脑开机后，主板自检完成后，被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR，它的大小是512字节，它是不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。

　　电脑系统开机过程介绍：

　　开启电源开机自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存。然后，将控制权交给主引导程序，再检查分区表的状态，寻找活动的分区。最后，由主引导程序将控制权交给活动分区的引导记录，由引导记录加载操作系统。

　　 病毒清除方法：
　　

　　在WINDOWS时代之所以很少见，并不是因为做不到——早在1998年，CIH就告诉病毒编写者如何利用驱动技术绕开WINDOWS的核心保护机制 ——而是因为这么做的投入产出不成比例。DOS下的自启动项目很少，病毒要自启动的话，除了寄生于文件，就只能依靠MBR了；而WINDOWS的自启动项目实在是太多了，随便在注册表里改一下，一般用户根本看不出来病毒已经启动，所以没有人纯粹为了一个自启动的目的去写个驱动来改动MBR，这纯属费力不讨好。其实从这点就可以看出，写WINDOWS下的病毒木马，技术门槛比DOS下要低一些。

　　不过这个病毒作者还是有一点创意：他将存放在磁盘第5扇区的病毒的主要代码插入到 ntldr文件中，这样就解决了自身代码在WINDOWS下的加载问题，比写个中断服务程序要简单得多。这一思路也为真正的BIOS病毒提供了一个非常好的实现方法。

　　解决这个病毒的方法其实也很简单，不过我仍然要提醒一句硬盘有价 数据无价 别傻呼呼的格式化硬盘,因为这样并不能修复MBR 而且根本不会改写MBR DBR DATA这三个区域,最简单明了的方法 使用windows系统安装盘自带的修复功能,按住R 键进入修复平台,稍等片刻-进入命令提示符-输入帐户名密码后 然后在命令提示符下输入Fixmbr 然后系统提示是否更新MBR主引导记录选择 是 并且再输入Fixboot 修复boot区引导 至此 主引导区已经修复完毕 病毒自然清除 然后用WinPE工具箱进入WinPE系统 杀毒 就可以解决了

转于 http://bbs.cri.cn/showtopic-723251.aspx