神秘“鬼影”病毒袭击Winxp系统，重装也无法消灭

以前，常听用户说，中毒了没啥，大不了重装。但现在，这句话将成为历史。金山安全实验室捕获一种被命名为“鬼影”的病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将病毒清除出去。当系统再次重启时，病毒会早于操作系统内核加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何母体程序的特征，病毒就象“鬼影”一样在中毒电脑上阴魂不散。

病毒特征：
1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。
（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）

2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
（“鬼影”病毒是近年来极为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术一般称之为MBR-rootkit，主要在国外技术论坛传播，在 “鬼影”病毒之前，这一技术少有被***利用的案例。）

3.病毒母体自删除。

4.重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

6.b驱动会下载av终结者到电脑中，并运行。

7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号***。进一步盗取用户的虚拟财产。

8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

“鬼影”病毒影响力分析
据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。

因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。

发现该病毒的艰难历程
1.金山安全实验室接到用户报告杀毒软件被破坏，远程协助用户使用多种修复工具、删除相关的可疑文件，均无法解决，远程检查用户电脑，未能成功采集病毒样本。

2.类似案例持续增加，无一例外均未采集到母体病毒样本，其中让部分用户备份数据后，格式化所有分区重装，但该用户重新系统后，报告中毒现象依旧。

3.尝试让用户回忆最近的上网记录，发现可疑浏览线索

4.金山安全实验室的工程师访问这些可疑网站，下载可疑程序，重现了中毒现象，确认了最初的感染来源。

“鬼影”病毒传播的广度分析
金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。

“鬼影”病毒的未来
该病毒开创了中国恶意软件编写的先河，预计该病毒的源文件将会成为黑色产业链中的抢手货，未来可能会有更多恶意软件利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒，都会令安全厂商头疼不已。

“鬼影”病毒的防范
金山毒霸已经升级，可查杀传播“鬼影”病毒的母体文件，避免更多用户受“鬼影”病毒之害，用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意URL加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。

金山网盾下载链接：
http://i2d.www.duba.net/i2d/kws3/KWSSetup.exe

金山毒霸安全组合装下载链接：
http://cd001.www.duba.net/duba/install/2009/once/DUBA100128_DOWN_10_10.exe

附：相关名词解释