XP系统鬼影病毒

       鬼影病毒专门攻击XP系统,并不影响Vista或Win7,主要通过网页挂马传播。由于寄生在磁盘主引导记录(MBR),因此就算格式化重装系统也无法清除该病毒,鬼影病毒在难以清除的同时,也会干掉系统中的杀毒软件,并下载大量木马。电脑系统一般开机过程为开机通电自检,主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动,系统BIOS将主引导记录(MBR)读入内存,控制权交给主引导程序,检查分区表状态,寻找活动的分区,主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统启动文件。MBR(Master Boot Record),中文意为主引导记录。电脑通电开机,主板自检完成后,被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区,它的大小是512字节,不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。 
  鬼影病毒很善于隐藏自己:由于“鬼影”病毒母体保存在硬盘主引导记录(MBR)中,独立于系统之外,所以用杀毒软件无法查杀该病毒,即使重装系统也无法彻底清除该病毒:在系统启动过程中,主引导记录(MBR)中的恶意代码会对Windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载驱动。这样就算用户重装了系统,也无法彻底清除该病毒; 
      鬼影病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。病毒母体自删除。 重启系统后,主引导记录(MBR)中的恶意代码会对Windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。 b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。 b驱动会下载av终结者到电脑中,并运行。 下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的密码账号。 

实用工具

更多
"