金山鬼影病毒(dú)专杀工具下(xià)载,昨天,金山(shān)安全中心发布了罕见的技术(shù)型病(bìng)毒“鬼影(yǐng)”预警(jǐng)。据(jù)金山安全实(shí)验室监测结果,该病毒(dú)的传播者(zhě)不(bú)明原因暂(zàn)时(shí)停止了(le)“鬼影”病(bìng)毒在某些网(wǎng)站的欺骗(piàn)下载。为帮助(zhù)此前“鬼影”病毒累计感染的的(de)数十万台PC用(yòng)户,金(jīn)山安(ān)全(quán)中心(xīn)发布“鬼影”病(bìng)毒专杀工具。
因“鬼影(yǐng)”病(bìng)毒将攻击(jī)代(dài)码寄生在正(zhèng)常硬(yìng)盘的主引导记录(MBR)上,为彻底完成病毒清除,须将病毒的(de)修改还原(yuán)到(dào)正常。修复分区的操作存(cún)在(zài)一(yī)定(dìng)的风险——若发生(shēng)意(yì)外致修(xiū)复分区表(biǎo)失败(bài),可能导致硬盘数据不可访问。金山(shān)安全中心(xīn)特别花了较长的时间进行安全性测试,以至专杀工具的发布(bù)延误(wù)了一天时间。
“鬼影”病毒的特征之(zhī)一(yī)是安全软件不能正常运行,该病毒(dú)目前的累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙(miào)不能正(zhèng)常运行(háng),常见的修(xiū)复工具也不能(néng)正常运行,请尝试使用金(jīn)山安全中心发布的“鬼影”病毒专杀工具检查修复.
鬼影病毒具体破坏行为:
1、该病(bìng)毒伪装为某共享(xiǎng)软(ruǎn)件,欺骗(piàn)用户(hù)下载安装。
病(bìng)毒文件中(zhōng)包含3部分文件:
A、原正常的(de)共享(xiǎng)软件。 B、“鬼(guǐ)影”病毒,修改(gǎi)系(xì)统引导区(mbr),结束杀软,下(xià)载AV终结者病毒。 C、捆绑IE首页篡改器,修改用户浏览器首页,桌(zhuō)面(miàn)添加多(duō)余(yú)的(de)快捷方式。
2、“鬼影”病(bìng)毒运行后,会释(shì)放2个驱动到用户电脑中,并加载。
3、驱动会修改(gǎi)系统的引导(dǎo)区(mbr),并将b驱动写入(rù)磁盘,保证病毒是优先(xiān)于系统启动,且病毒(dú)文件保(bǎo)存在(zài)系统(tǒng)之外。这样进入系统(tǒng)后(hòu),病毒加载入内(nèi)存,但找不到(dào)任何启动项、找不到病毒(dú)文件、在(zài)进程中找不(bú)到任何进程模块。
4、病(bìng)毒母体自删除。
5、重启系(xì)统后,存在在引导区中的恶意(yì)代(dài)码会对windows系统的(de)整(zhěng)个(gè)启动过程进行(háng)监控,发现系统(tǒng)加载ntldr文件时,插入恶意代码,使其加(jiā)载写入引导区第五个扇区的b驱动。
6、b驱动加载起来后,会监视系统中的所有进程模块,若存在安(ān)全软(ruǎn)件的进程,直接(jiē)结束。
7、b驱动会(huì)下载av终结者到电脑中,并运行。
8、av终(zhōng)结者会修改系统文件(jiàn),对安全软件进程添加大量的映像劫持,下(xià)载大量的盗号(hào)木马。进(jìn)一步盗(dào)取用户(hù)的虚拟(nǐ)财产(chǎn)。
补(bǔ)充:
鬼影(yǐng)病毒介(jiè)绍:鬼影病毒寄(jì)生在磁盘主(zhǔ)引导记录(MBR),即使(shǐ)格式化重装系统,也无法将该病(bìng)毒(dú)清除(chú)。当系统再次重启时,该病毒(dú)会早于(yú)操作系统内核先(xiān)行(háng)加(jiā)载。而(ér)当病毒成功运行后,在进程中、系统启动(dòng)加载项里找(zhǎo)不到任何异常,病毒就象(xiàng)“鬼影”一样在中(zhōng)毒电脑上“阴(yīn)魂不散”。“鬼影”病毒也因(yīn)此成(chéng)为国内首个“引导区”下载者病毒。
注意:专杀用后需要重启电脑一次,安装金山毒霸最新版(bǎn)可(kě)以防御鬼影病毒(dú)母体。
