2010年3月17日 星期三

[news]鬼影病毒侵襲 XP 重裝系統也沒用

鬼影病毒侵襲 XP 重裝系統也沒用

鬼影病毒的由來

以前,常聽用戶說,中毒了沒啥,大不了重裝。但現在,這句話將成為歷史。金山安全實驗室捕獲一種被命名為「鬼影」的病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將病毒清除出去。當系統再次重啟時,病毒會早於操作系統內核加載。而當病毒成功運行後,在進程中、系統啟動加載項裡找不到任何母體程序的特徵,病毒就像「鬼影」一樣在中毒電腦上陰魂不散。

技術講解

「鬼影」病毒是近年來極為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術一般稱之為MBR-rootkit,主要在國外技術論壇傳播,在 「鬼影」病毒之前,這一技術少有被黑客利用的案例。

病毒特徵

1.「鬼影」病毒母體運行後,會釋放兩個驅動到用戶電腦中,並加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式,嘗試修改IE屬性。

2.a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。

3.病毒母體自刪除。

4.重啟系統後,主引導記錄(MBR)中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載b驅動。

5.b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。

6.b驅動會下載av終結者到電腦中,並運行。

7.下載的av終結者病毒會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。

8.該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統。

「鬼影」病毒影響力分析
據金山安全實驗室研究人員透露,在目前國內安全廠商和民間反病毒高手中,能夠完整分析「鬼影」病毒的人屈指可數。

因病毒寄生於硬盤的主引導記錄(MBR),病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除,金山安全實驗室正在編寫針對「鬼影」病毒的專殺工具。

發現該病毒的艱難歷程
1.金山安全實驗室接到用戶報告殺毒軟件被破壞,遠程協助用戶使用多種修復工具、刪除相關的可疑文件,均無法解決,遠程檢查用戶電腦,未能成功採集病毒樣本。

2.類似案例持續增加,無一例外均未採集到母體病毒樣本,其中讓部分用戶備份數據後,格式化所有分區重裝,但該用戶重新系統後,報告中毒現象依舊。

3.嘗試讓用戶回憶最近的上網記錄,發現可疑瀏覽線索

4.金山安全實驗室的工程師訪問這些可疑網站,下載可疑程序,重現了中毒現象,確認了最初的感染來源。

 「鬼影」病毒的未來

該病毒開創了中國惡意軟件編寫的先河,預計該病毒的源文件將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟件利用「鬼影」病毒的MBR-rootkit技術長期駐留用戶電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已。

「鬼影」病毒的防範

金山毒霸已經升級,可查殺傳播「鬼影」病毒的母體文件,避免更多用戶受「鬼影」病毒之害,用戶只需要在線升級即可獲得相應防禦能力。金山網盾已將傳播該病毒的惡意URL加入阻止訪問的列表,防止更多用戶下載這個神秘的「鬼影」病毒。

新聞連結出處:http://info.wenweipo.com/index.php/action-viewnews-itemid-14610

相關文章 :

0 意見: