鬼影病毒清除方法

2010年03月18日

3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。
以前,常听用户说,中毒了没关系,大不了重装系统。但现在,这句话将成为历史。3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
金山安全反病毒专家表示,“一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。
  李铁军表示,“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统;全新的病毒技术,突破了普通杀毒软件的自保护,“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。
金山安全实验室的研究人员分析发现,这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的,目前的日感染电脑约2-3万台。“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
“鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对Winxp系统,该病毒尚不能破坏Vista和Windows 7系统。
  另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对“鬼影”病毒的专杀工具。
  金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。
该病毒开创了中国恶意软件编写的先河,预计该病毒的源文件将会成为黑色产业链中的抢手货,未来可能会有更多恶意软件利用“鬼影”病毒的MBR- rootkit技术长期驻留用户电脑。每一个划时代的病毒,都会令安全厂商头疼不已。
一、简介
  该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒,最重要的是重装系统都不能清除该病毒。
  二、具体行为
  1、该病毒伪装为某共享软件,欺骗用户下载安装。
  病毒文件中包含3部分文件:
  A、原正常的共享软件。
  B、“鬼影”病毒,修改系统引导区(mbr),结束杀软,下载AV终结者病毒。
  C、捆绑IE首页篡改器,修改用户浏览器首页,桌面添加多余的快捷方式。
  2,“鬼影”病毒运行后,会释放2个驱动到用户电脑中,并加载。
  3,驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
  4,病毒母体自删除。
  5,重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。
  6,b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
  7,b驱动会下载av终结者到电脑中,并运行。
  8,av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。
  三、小结
  “鬼影”病毒是第一个引导区下载者病毒,超越了传统的引导区病毒和下载者病毒,不光做到了三无特性,而且就算用户重装了系统,他也会阴魂不散的再次进入用户新系统,全新的结束手法,突破杀毒软件的自保护。“鬼影”病毒是一个划时代的病毒。
MBR(Master Boot Record),中文意为主引导记录。电脑开机后,主板自检完成后,被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR,它的大小是512字节,它是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。
  电脑系统开机过程介绍:
  开启电源开机自检–>主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动–>系统BIOS将主引导记录(MBR)读入内存。然后,将控制权交给主引导程序,再检查分区表的状态,寻找活动的分区。最后,由主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统。
[编辑本段]鬼影病毒的正确处理方法:
   关于“鬼影”这个病毒,我不想在这里敖述了,大家可以自己从网上去看一下,我这里只告诉大家怎样去治疗和预防。
  首先当你已经中了这个病毒了,那么你也不用紧张,这个病毒虽然传说是就算重装也不能删除的,这只是方法不对而已。所以才会重装后病毒还会继续发作的原因,下面我就告诉大家来治疗鬼影病毒的方法。
  首先,格式化C盘,再进入dos状态,运行fdisk/mbr 命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是GHOST安装系统那么还要多做以下几步。
  1、通过GHOST系统盘进入PQ/PM分区工具,一般GHOST系统盘都带的
  2、 右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。
  3、 直接用GHOST系统盘安装系统就OK了。[4] 
在WINDOWS时代之所以很少见,并不是因为做不到——早在1998年,CIH就告诉病毒编写者如何利用驱动技术绕开WINDOWS的核心保护机制——而是因为这么做的投入产出不成比例。DOS下的自启动项目很少,病毒要自启动的话,除了寄生于文件,就只能依靠MBR了;而WINDOWS的自启动项目实在是太多了,随便在注册表里改一下,一般用户根本看不出来病毒已经启动,所以没有人纯粹为了一个自启动的目的去写个驱动来改动MBR,这纯属费力不讨好。其实从这点就可以看出,写WINDOWS下的病毒木马,技术门槛比DOS下要低一些。
  不过这个病毒作者还是有一点创意:他将存放在磁盘第5扇区的病毒的主要代码插入到ntldr文件中,这样就解决了自身代码在WINDOWS下的加载问题,比写个中断服务程序要简单得多。这一思路也为真正的BIOS病毒提供了一个非常好的实现方法。
  解决这个病毒的方法其实也很简单,不过我仍然要提醒一句硬盘有价 数据无价 别傻呼呼的格式化硬盘,因为这样并不能修复MBR 而且根本不会改写MBR DBR DATA这三个区域,最简单明了的方法 使用windows系统安装盘自带的修复功能,按住R 键进入修复平台,稍等片刻-进入命令提示符-输入帐户名密码后 然后在命令提示符下输入Fixmbr 然后系统提示是否更新MBR主引导记录选择 是 并且再输入Fixboot 修复boot区引导 至此 主引导区已经修复完毕 病毒自然清除 然后用WinPE工具箱进入WinPE系统 杀毒 就可以解决了。

Download


sicnature ---------------------------------------------------------------------
Your current IP address is: 3.238.6.55
Your IP address location: 美国弗吉尼亚阿什本
Your IP address country and region: 美国 美国
Your current browser is:
Your current system is:
Original content, please indicate the source:
同福客栈论坛 | 蟒蛇科普海南乡情论坛 | JiaYu Blog
sicnature ---------------------------------------------------------------------
Welcome to reprint. Please indicate the source http://myzhenai.com/post/237.html

1 评论

  • 海南胡说 2010年03月18日在10:52 上午

    注:这是文中提到的病毒作者百度空间原始资料,不过空间内容可能已经被全部删除,这些内容也是通过搜索引擎的快照功能得到的.不代表我们的观点.
    ===========================================

    飓风软件-穿还原下载者

    一:穿还原(全中国唯一利用硬件接口直接解析文件系统的穿还原技术)
    前言:众所周知目前市面上的大部份穿还原技术都是从系统层面有针对性进行穿透有Ring0内核级穿还原也有Ring3应用层穿还原,这种穿还原技术都是采用针对系统漏洞与还原软件漏洞还实现穿透,但一旦还原软件升级则穿透必然失效,飓风下载者完全摈弃以往机器狗穿还原的技术,从硬件接口入手直接解析文件系统实现了通用性极强的还原穿透!经过测试在无驱动防火墙前题下可穿透一切还原软件以及还原卡!而且不必担心还原软件是否升级的问题,我们针对的不是还原软件漏洞,而是MS提供的系统与硬件通信的接口!试想还原软件再强大,还原保护再强大,它也不可能摈弃与系统通信,更不可能脱离系统平台,故无论还原软件与还原卡如何升级都无法躲避硬件级直接解析文件系统的还原穿透!以下是经过测试可穿透的还原列表:

    <1>.网维大师(顺网)全系列还原软件(包括最新版,无驱动防火墙,驱动防火墙目前正在尝试解决);
    <2>.讯闪全系列还原软件(包括最新版)
    <3>.快速还原(包括最新版)
    <4>.易速还原(包括最新版)
    <5>.极速还原(包括最新版)
    <6>.贝壳还原(包括最新版)
    <7>.雨过天晴(包括最新版)
    <8>.影子系统(包括最新版)
    <9>.胜天还原(包括最新版)
    <10>.冰点还原(包括最新版)
    <11>.还原精灵(包括最新版)
    <12>.小哨兵还原卡
    <13>.三茗还原卡
    <14>.方正磁盘保护器
    <15>.360还原保护,大部份防狗补丁,所有品牌电脑公司还原保护(如联想、DELL、SONY、三星等品牌)。

    (注:因为使用了硬件接口技术必须解析文件系统,目前我们支持的文件系统格式非常全面,但唯一不包括SISC接口,SISC硬盘价格昂贵一般都是大型服务器使用,所有购买的普通用户电脑、公司电脑、网吧电脑、使用的全部都是串口或并口(ATA或SATA)硬盘所以不存在兼容性问题!当然了不是说SISC接口硬盘就不能使用下载者功能而只是无法实现穿透罢了。如果在测试时使用了虚拟机,那么请在新建虚拟机时选IDE接口方式安装系统进行测试!否则有可能测试无法通过!真机情况下不存在测试失效的问题,另外因为时间的原因我们测试的还原软件都是比较主流的还原软件网络上能搜集到的也就是这么些个还原软件能购买到的还原卡类的也就是这几个,当然也有一些不怎么知名的还原软件没有去测试作者也没有这么多的时间和精力去挨个测试,如果列表里没有的还原客户可以自己去下载测试,理论上说通过硬件接口直接解析文件系统的技术还没有任何还原软件和还原卡无法穿透的!)

    二:无限复活(利用国外黑帽子大会内部公布的Bootkit技术实现程序无限复活+超级隐藏)
    前言:众所周知,目前市面上的所谓无限复活无外乎几种:1、感染所有EXE文件或者带有PE格式的文件,或指定感染一些常用的软件如QQ、迅雷等 这种方式看上去还是不错的,实际上这类感染方式反倒会让马儿死的更快,感染全盘EXE首先就得开N多个线程去查找PE格式的文件会严重的影响系统速度占用大部份系统资源;而感染实际上很难解决几个问题,带有数字签名的EXE无法感染,加壳,压缩,加密的EXE无法感染,带有自效验的EXE无法感染,不但不可以感染反倒会破坏文件; 而且杀毒软件也会对EXE文件进行检查!而且PE感染大部份情况下都会让EXE的ICO图标失真,当年的熊猫烧香之所以用它自己的图标就是因为无法解决图标失真问题!总之EXE感染是最SB的方式了。2、加Autorun.inf 也就是在每一个盘上加自动运行,这些方式不管你是木马还是正规软件杀毒软件一律都会报毒,而且有一点电脑常识的人都知道检测这东西。以上说的也就是目前市面上所谓的无限复活技术了!
    飓风无限复活技术采用了当前市面上从未有过的另类复活技术MBR感染(主引导区感染),都知道硬盘在分区时都会有开一个引导区用于加载系统,而国外黑帽子黑客大会内部公布的Bootkit技术代码也是目前全世界最稳定的MBR感染技术,它支持WINDOWS XP;WINDOWS 2003;WINDOWS VISTA WINDOWS7 而且高效稳定,不会出现破坏MBR导致系统无法进入的问题,MBR感染后无论你如何与格式化硬盘或者重新安装系统马儿都会随着系统自动加载起来,而被引导加载的马儿存放的位置也不是放在哪一个分区磁盘里,通常情况下硬盘在分区时都会预留一部份空间出来用于存放一些缓存文件,而且这个空间是隐藏的,包括杀毒软件都无法对这个分区进行扫描,我们的原木马将存放在这个位置,一旦马儿被杀,或者系统重装或格式化了所有分区,那么只要重启计算机感染在MBR里的引导代码将会从硬盘的预留空间里调用马儿重新运行,除非这台计算机没有系统或者重新分区否则马儿永远都会无限复活!

    (注:测试得出 在原版安装装下系统会自动重建MBR也就是说是无法实现这种情况下的重装复活,但使用原版盘安装系统有几乎没有了,大部份情况下包括电脑城的装机员在内为了图方便都是使用Ghost快速装机版本,而在Ghost快速装机系统下包括、电脑公司装机版、雨林木风、番茄花园、深度技术、萝卜家园等不同的Ghost系统下 包括GHOST备份系统等 不重新分区的前提下 就算是格式化系统盘再装系统或者恢复系统等软件也可以自动复活!)

    三:Kill杀毒软件 ByPass主动防御
    Kill杀毒软件没什么稀奇的,不论使用了什么技术都没什么,最重要的就是可以干掉杀毒软件就行!这里我也就不介绍KILL杀软的技术了,目前可以过的杀毒软件包括“卡巴2010”,“瑞星2010”,“江民2010”,“NOD32”,“金山2010”,“360安全卫士+保险箱+360杀毒”其它的杀软没怎么测试,我们使用的技术比较底层而且比较通用相信大部份杀毒软件都是可以KILL的!映像劫持了杀毒软件的某一个部位只要被KILL了杀毒软件也就再也无法启动了(这里要说明的是我们劫持的技术目前来说还没有人使用过,就算你改进程名什么什么都是无法启动的!并且目前可以Kill 360安全卫士 360杀毒 江民的下载者几乎少之又少,飓风则可kill市面上已知的所有主流杀毒软件,使用系统漏洞加载驱动,均可在任何杀软下无提示加载我们的驱动)

    四:下载者功能
    1、无限循环下载 2、不通过文件系统解析系统完全找不到软件的痕迹,3、任何杀毒软件都找不到我们的文件(超级隐藏)无文件、无进程、无DLL、连驱动加载了任何类似冰刃的软件里都看不到我们的驱动是否有加载。4、强大的.Net开发的统计后台,包括主后台、推广员后台分级系统,变异算法动态扣量,深层过滤MAC号.IP地址,硬盘序列号 相同的IP 相同的MAC号 相同的硬盘序列号都不会重复统计 完全杜绝刷量的行为5、超强的数据上报加密技术、配置文档加密技术 自动清空系统缓存 就算抓包也无法得到上报接口,下载地址、文件等!

    后记:飓风软件推出的飓风下载者使用的技术完全可以说是2010年及具颠覆意义的一款超强功能的下载者,我们没有使用太多的花哨功能,实际上有了以上几大功能下载者已经非常强大,存活率也可以说是可以达到很高比率了!我们无意和别人的软件去比功能的多少,我们只比实用性,通用性,稳定性。每个开发此类软件的人都有自己的想法和方式这些我们不去评说,如果诸位觉得我们的软件不如别人功能多那么你大可以去买别人功能多的,当然如果有一些功能是非常必要的那么请告知我们,作者也将会酌情考虑加上这些功能!

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注