神秘“鬼影”病毒袭击xp系统 重装也无法清除

磁盘主引导记录(MBR)简介：

　　 MBR(Master Boot Record),中文意为主引导记录。电脑开机后，主板自检完成后，被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR，它的大小是512字节，它是不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。

电脑系统开机过程介绍：

　 　开启电源开机自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR) 读入内存。然后，将控制权交给主引导程序，再检查分区表的状态，寻找活动的分区。最后，由主引导程序将控制权交给活动分区的引导记录，由引导记录加载操作系统。

以前常听用户说中毒了没关系，大不了重装。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录(MBR)，即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。

颠覆传统 重装系统无法清除

金山安全反病毒专家表示，“一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒，安全 软件 无法进行拦截。因病毒比安全 软件 的启动还要早。

　　李铁军表示，“鬼影”病毒是国内首个引导区 下载 者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性――无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统; 全新的病毒技术，突破了普通杀毒软件的自保护，“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。

安全软件失效 电脑明显变慢

　　金山安全实验室的研究人员分析发现，这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的，目前的日感染电脑约2-3万台。“鬼影”病毒 入侵 后，会释放驱动程序改写硬盘MBR(主引导记录)，驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再 下载 传统的AV终结者 木马 下载器，最终目的依然是通过传播盗号 木马 ，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。

罕见技术型病毒源于国外?

　　“鬼影”病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术 论坛 传播，在“鬼影”病毒之前，这一技术少有被 黑客 实际大规模利用的案例。金山安全实验室工程师说，目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows 7系统。

　　另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR)，病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。

 

个人总结：

DOS年代与windows时代混合生产的东东，原因很简单winxp向下兼容MS_DOS7.1，借鉴了当年的逻辑炸弹(搞定过嘿嘿)、还原精灵类软件（搞不好硬盘报废，不过我会修，当时很多以为坏了三好有人收，不少人都发了大财暴利啊！当时遇到一小白还问收这废品有什么用,有钱没事烧的?）不过对于一些品牌机影响不大,大都有分区表与主引导记录备份功能。主要就是看个人电脑水平，还有就是有无安全意识!对于企业的网管来说纯粹挑战真功夫,有水(本科博士类白菜只能说NO)是解决不了地，当然也可以找人搞定，看你的圈子里有没有DOS年代的人啦！相对于防范来说，有就是小菜一碟没什么太难的，杀毒也有绝招就不多说了！

 

这个毒对于国内的江民(DOS年代走过来的毕竟不会太菜)来说问题不大，其它的可就有难说啦,也许可以考虑去挖几个人来摆平！不要又说我出馊主意破坏内部团结稳定，大家看着办吧！

 

PS：记得去年到国外网站下商业软件注册机，不小心结果中招!个人对windows系统比较了解发现可疑进程直接干掉后是没了，但是后来发现打开记事本时又有了，经过仔细研究发现程序是通过更改系统合法服务来实现的并关联TXT文件。禁用该服务结束相关进程搜索文件后删除，配合360恢复系统原有文件及参数。所有杀软全部失效，该病毒有在互联网上至少流行了两年之久。半年后有国外杀软可以干掉此毒，国内9个月后可杀。杀软厂商真是坏透了，病毒早就有了,为什么非要等到大面积爆发才发布专杀，严重怀疑是杀软们雇佣的，为了某种目的而进行的一场阴谋！