關於部落格
  • 115493

    累積人氣

  • 50

    今日人氣

    0

    追蹤人氣

我的電腦中毒記

============以下節錄自http://fqs310.blog.hexun.com.tw/46824955_d.html================
電腦中毒怎麽辦?在此之前我們菜鳥級的都知道最常用最有效的除毒方法就是重裝系統!但現在,這已經成為歷史。就在今天3月15日,金山安全實驗室捕獲一種被命名為“鬼影”的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啟動加載項裏找不到任何異常,病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。
“鬼影”簡介:
該病毒一旦進入電腦,就像惡魔一樣,隱藏在系統之外,無文件、無系統啟動項、無進程模塊,比系統運行還早,結束所有殺毒軟件,下載av終結者,盜號木馬,ie主頁修改等大量多品種病毒,最重要的是重裝系統都不能清除該病毒。
“鬼影”具體行為:
1、該病毒偽裝為某共用軟件,欺騙用戶下載安裝。
病毒檔中包含3部分檔:
A、原正常的共用軟件。
B、“鬼影”病毒,修改系統引導區(mbr),結束殺軟,下載AV終結者病毒。
C、捆綁IE首頁篡改器,修改用戶瀏覽器首頁,桌面添加多餘的快捷方式。
2,“鬼影”病毒運行後,會釋放2個驅動到用戶電腦中,並加載。
3,驅動會修改系統的引導區(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啟動,且病毒檔保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啟動項、找不到病毒檔、在進程中找不到任何進程模塊。
4,病毒母體自刪除。
5,重啟系統後,存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載寫入引導區第五個扇區的b驅動。
6,b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。
7,b驅動會下載av終結者到電腦中,並運行。
8,av終結者會修改系統檔,對安全軟件進程添加大量的映射劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。
“鬼影”病毒是國內首個引導區下載者病毒,顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,不僅做到了“三無”特性——無文件、無系統啟動項、無進程模塊,而且即使用戶重裝了系統,該病毒依然會再次進入用戶新系統;全新的病毒技術,突破了普通殺毒軟件的自保護,“鬼影”病毒可以說是一個具有“劃時代”特徵的電腦病毒。“鬼影”病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的編程技巧。在目前國內安全廠商和民間反病毒高手中,能夠完整分析“鬼影”病毒的人屈指可數。因病毒寄生於硬盤的主引導記錄(MBR),病毒釋放的驅動程式能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除!因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術主要在國外技術論壇傳播,在“鬼影”病毒之前,這一技術少有被駭客實際大規模利用的案例。目前“鬼影”病毒只針對Winxp系統,該病毒尚不能破壞Vista和Windows 7系統。
青松推薦 微軟最新操作系統-Windows7官方中文旗艦版MSDN正式版下載安裝試用分享
“鬼影”病毒如何防範?
該病毒開創了中國惡意軟件編寫的先河,預計該病毒的原始檔案將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟件利用“鬼影”病毒的MBR-rootkit技術長期駐留用戶電腦。目前只能以防為言主,金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表,防止更多用戶下載這個神秘的“鬼影”病毒。
最新“鬼影”病毒專殺工具
http://down.qiannao.com/space/file/fqs310/share/2010/3/16/-9b3c-5f71-75c5-6bd2-4e13-6740-5de5-5177.rar/.page

特別聲明:此工具會嘗試修復中毒用戶的分區表,因修復分區表存在一定風險,金山安全實驗室力圖通過技術測試減少分區表改寫的風險,但不敢保證改寫分區表的操作完全杜絕風險。大家記好,使用清除工具前,請先確定你是不是真的中了鬼影病毒,備份電腦上的資料,然後再使用專殺工具清除鬼影病毒。
============================================================
PS. 我並沒有用上述的工具解毒,. 因為我不知道我中的是否就是鬼影, 我只有用SPFDISK REBUILD MBR 而已////
=============================================================

 

相簿設定
標籤設定
相簿狀態