鬼影病毒[编辑]

鬼影病毒是寄生在磁盘主引导记录（MBR）的病毒，即使用户重新格式化硬盘和重装系统也依然无效。该病毒还有许多变异病毒。

特征

鬼影病毒的主要代码是寄生在硬盘的主引导记录（MBR），即使受害者格式化硬盘重装系统，鬼影病毒也无法清除。鬼影病毒是中国内地首个引导区下载者病毒，它具备“三无”特征——无文件、无系统启动项、无进程模块，而且即使用户重格式硬盘和重装系统也依然无效。

“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。

鬼影病毒 - 编写技巧 因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过WinXP的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。

病毒作者将存放在磁盘第5扇区的病毒的主要代码插入到ntldr文件中，这样就解决了自身代码在WINDOWS下的加载问题，比写个中断服务程序要简单得多。这一思路也为真正的BIOS病毒提供了一个非常好的实现方法。

编辑本段
具体行为

1、该病毒伪装为某共享软件，欺骗用户下载安装。病毒文件中包含3部分文件：A、原正常的共享软件。B、“鬼影”病毒，修改系统引导区(mbr)，结束杀软，下载AV终结者病毒。C、捆绑IE首页篡改器，修改用户浏览器首页，桌面添加多余的快捷方式。

2、“鬼影”病毒运行后，会释放2个驱动到用户电脑中，并加载。

3、驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

4、病毒母体自删除。

5、重启系统后，存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。

6、b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

7、b驱动会下载av终结者到电脑中，并运行。

8、av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马病毒。进一步盗取用户的虚拟财产。

编辑本段
影响系统

2010年3月，安全工程师表示，“鬼影”病毒暂时只针对WinXP系统，该病毒尚不能破坏Vista和Windows 7系统。

编辑本段
变种

2011年9月2日，捕获鬼影病毒最新变种，该变种会改写特定型号的主板BIOS芯片。若改写成功，鬼影病毒破坏的MBR(硬盘主引导记录)就被保护，杀毒软件修复受损MBR的操作会失败。新鬼影病毒主要通过假冒游戏外挂和电影播放器以及热门视频传播，其主要攻击目标是游戏玩家和在线看视频的网民。中毒后的主要表现是主页被锁定为www.my2345.cc。

新鬼影病毒先判定当前系统主板BIOS是否为AwardBIOS，然后再查找SMI端口，写入新的BIOS内容，其目的是保护硬盘MBR(主引导记录)被其他程序改写。这样就造成杀毒软件或一些磁盘编辑工具无法查看或编辑主板MBR信息，从而使病毒难以清除。

网络营销词典内容均由网友提供，仅供参考。如发现词条内容有问题，请发邮件至info # wm23.com。