什么是鬼影病毒 鬼影病毒样本下载( 三 )
颠覆传统
重装系统无法清除 。
一般的电脑病毒是Windows系统下的应用程序 , 在Windows加载之后才运行 。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR) , 即使用户重装了系统 , 仍无法将其完全清除 。当系统再次重启时 , 该病毒会早于操作系统内核先行加载 。而当病毒成功运行后 , 在进程中、系统启动加载项里找不到任何异常 , 病毒就象“鬼影”一样在中毒电脑上“阴魂不散” 。“鬼影”病毒是国内首个引导区下载者病毒 , 颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势 , 不仅做到了“三无”特性——无文件、无系统启动项、无进程模块 , 而且即使用户重装了系统 , 该病毒依然会再次进入用户新系统 。
安全软件失效
电脑明显变慢
“鬼影”病毒入侵后 , 会释放驱动程序改写硬盘MBR(主引导记录) , 驱动程序在开机过程中攻击众多杀毒软件 , 令杀毒软件失效 , 再下载传统的AV终结者木马下载器 , 最终目的依然是通过传播盗号木马 , 窃取用户虚拟财产牟利 。中毒后 , 最直观的现象是安全软件无法正常运行 , 电脑明显变慢 , IE主页被改 。
编辑本段出现症状
1、电脑非常卡 , 操作程序有明显的停滞感 , 常见杀毒软件无法正常打开 , 同时发现反复重装系统后问题依旧无法解决 。
2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常 。目前rpcss.dll , ddraw.dll是盗号木马现在常修改的系统dll 。
3、QQ号码被盗 , 可被黑客用来传播广告等 。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗 。
4、进程中存在iexplor.exe进程并指向一个不正常的网站 。
5、现在鬼影共同特征就是进程里有ali.exe
6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式 , 而且删不掉 。
7、现在的鬼影还有一个特征就是任何软件(有些例外如360急救箱) , 会在7——12秒内自动关闭 , 一些鬼影病毒可以屏蔽一些“纯鬼影专杀” , 当启动专杀时 , 会发现专杀驱动无法成功启动 。只有一些强制性的杀毒软件(如金山系统急救箱) , 才可以清除 。
编辑本段工作原理
鬼影病毒伪装为某共享软件 , 欺骗用户下载安装 。病毒运行后 , 会释放2个驱动到用户电脑中 , 并加载 。驱动会修改系统的引导区(mbr) , 并将b驱动写入磁盘 , 保证病毒是优先于系统启动 , 且病毒文件保存在系统之外 。这样进入系统后 , 病毒加载入内存 , 但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块 。
重启系统后 , 存在于引导区中的恶意代码会对windows系统的整个启动过程进行监控 , 发现系统加载ntldr文件时 , 插入恶意代码 , 使其加载写入引导区第五个扇区的b驱动 。b驱动加载起来后 , 会监视系统中的所有进程模块 , 若存在安全软件的进程 , 直接结束 。b驱动会下载av终结者到电脑中 , 并运行 。av终结者会修改系统文件 , 对安全软件进程添加大量的映像劫持 , 下载大量的盗号木马 。进一步盗取用户的虚拟财产 。该病毒只针对Winxp系统 , 尚不能破坏Vista和Win7系统 。
编辑本段处理方法重装系统
格式化C盘 , 进入dos状态 , 运行fdisk/mbr
命令 , 用以清除掉主引导区的病毒引导代码 , 这时候重装系统就可以了 , 但是这是在完全安装起作用的 , 如果你用是GHOST安装系统那么还要多做以下几步:
【什么是鬼影病毒 鬼影病毒样本下载】1、通过GHOST系统盘进入PQ/PM分区工具 , 一般GHOST系统盘都带的 。
2、
右击c盘 , 选择进阶-设为作用 , 这样就把MBR引导层重新写了一遍 , 这样在引导层中的病毒也自然被剔除了 。
3、
直接用GHOST系统盘安装系统就OK了 。
查杀方法
DOS下手动查杀方法
第一步:找专杀工具:这里推荐使用“一键GHOST“ , 其中的DOS工具箱自带的小工具DISKRW就可以完美解决 。
推荐阅读
- 胡萝卜算碳水还是蔬菜—胡萝卜是碳水吗?
- 在香港扶灵意味着什么 香港扶灵什么意思
- UNO是什么 uno洗面奶
- 和郑建鹏结婚的广州名模叫什么 冼燕坚百度百科
- 中国和巴西的时差是多少小时 中国和巴西的时差
- 星光大道|歌手龙婷:曾是《星光大道》冠军,受邀参加春晚后,为何街头卖唱
- 北京豆汁为什么是臭的
- 大雁塔是哪个朝代的
- 抛货是什么意思
- 松花蛋上的花纹是什么物质