“鬼影”病毒，专门防御XP系统，重装都没有用

华军资讯消息：近日金山安全实验室捕获一种名为“鬼影”的病毒，该病毒专门防御XP系统，由于寄生在磁盘主引导记载(MBR)，因
此就算格式化重装系统也没法肃清该病毒。“鬼影”病毒在难以肃清的一起，也会干掉系统中的杀毒软件，并下载大批木马，可谓史
上最牛的病毒。
　　据金山安全工程师李铁军的博客解释，“鬼影”病毒紧要有如下几个特征：
　　该病毒很擅长隐藏自身：由于“鬼影”病毒母体保管在硬盘主引导记载(MBR)中，独立于系统之外，因而用杀毒软件没法查杀该
病毒;
　　即使重装系统也没法彻底肃清该病毒：在系统启动进程中，主引导记载(MBR)中的恶意代码会对Windows系统的全部启动进程实行
监控，发现系统加载ntldr文件时，拔出恶意代码，使其加载驱动。这样就算玩家重装了系统，也没法彻底肃清该病毒;
　　该病毒专门针对XP系统：由于XP照旧是目前运用最普遍的操作系统，“鬼影”病毒只对XP有用，并不影响Vista或Win7。
　　“鬼影”病毒传达方法：
　　目前“鬼影”病毒紧要阅历网页挂马传达，金山云安全系统分析该恶意软件的下载频率，结合传达病毒的网站流量分析，评价该
病毒的日下载量大约为2-3万之间。　

　　“鬼影”病毒的影响力分析：
　　由于“鬼影”病毒具有重装系统也没法肃清的破坏力，运用理论下行传达的有用性远远跨越了之前的恶意程序。因此，估量“鬼影
”病毒会在短时辰内遭到挂马集团的注重，成为黑色产业链中的抢手货，未来可以会有更多恶意软件运用“鬼影”病毒的MBR-
rootkit技术暂时驻留玩家电脑。
　　如何防范“鬼影”病毒?
　　以前网友在碰着系统中毒没法用常规的杀毒方法处置时，普通都会重装系统，乃至直接格式化后再重装。但这些方法在“鬼影”
病毒面前都已然失效，因而防范“鬼影”病毒的紧要性不言而喻。目前还没有显示标准的防范“鬼影”病毒的方法，而金山安全实验
室专门晋级了金山毒霸，可以查杀传达“鬼影”病毒的母体文件，玩家只需求在线晋级就可以获得相应防御才干;一起，金山网盾已将
传达该病毒的恶意URL参与阻挡制止访问的列表，防止更多玩家下载这个奥妙的“鬼影”病毒。
　　附一：“鬼影”病毒紧要特征解释
　　1、“鬼影”病毒母体运转后，会释放两个驱动到玩家电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修正桌面快捷方
式，尝试修正IE属性。
　　2、a驱动会修正系统的主引导记载(mbr)，并将b驱动写入磁盘，确保病毒是优先于系统启动，且病毒文件保管在系统之外。这样
进到系统后，病毒加载入内存，但找不就职何启动项、找不到病毒文件、在进程中找不就职何进程模块。
　　3、病毒母体自删除。
　　4、重启系统后，主引导记载(MBR)中的恶意代码会对Windows系统的全部启动进程实行监控，发现系统加载ntldr文件时，拔出恶
意代码，使其加载b驱动。
　　5、b驱动加载起来后，会监视系统中的全部进程模块，若存在安全软件的进程，直接终了。
　　6、b驱动会下载av终结者到电脑中，并运转。
　　7、下载的av终结者病毒会修正系统文件，对安全软件进程添加大批的映像劫持，下载大批的盗号木马。进一步盗取玩家的虚拟
财富。
　　8、该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。
　　附二：相关名词解释
　　MBR(Master Boot Record)，中文意为主引导记载。电脑通电开机，主板自检完成后，被第一个读取到的位置。位于硬盘的0磁头
0磁道1扇区，它的大小是512字节，不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。DOS时代众多成灾的引
导区病毒多寄生于此。
　　电脑零碎开机进程：开机通电自检-->主板BIOS按照玩家指定的启动顺序从软盘、硬盘或光驱实行启动-->零碎BIOS将主引导记载(MBR)读入内存。-->控制权交给主引导程序-->检验分区表形态，找寻活动的分区-->主引导程序将控制权交给活动分区的引导记载，由引导记载加载操作零碎启动文件。