"鬼影"病毒入侵原理与感染后可能出现的症状(2) |
发布时间: 2012/6/11 19:30:54 |
安全软件失效电脑明显变慢
“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。 电脑感染后可能出现的症状 1、电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发现反复重装系统后问题依旧无法解决。 2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。目前rpcss.dll,ddraw.dll是盗号木马现在常修改的系统dll。 3、QQ号码被盗,可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。 4、进程中存在iexplor.exe进程并指向一个不正常的网站。 5、现在鬼影共同特征就是进程里有ali.exe6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式,而且删不掉。 鬼影病毒的工作原理 鬼影病毒伪装为某共享软件,欺骗用户下载安装。病毒运行后,会释放2个驱动到用户电脑中,并加载。驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。 重启系统后,存在于引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。b驱动会下载av终结者到电脑中,并运行。av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。 鬼影病毒处理方法 重装系统格式化C盘,进入dos状态,运行fdisk/mbr命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是GHOST安装系统那么还要多做以下几步: 1、通过GHOST系统盘进入PQ/PM分区工具,一般GHOST系统盘都带的。 2、右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。 3、直接用GHOST系统盘安装系统就OK了。[3]DOS下手动查杀方法 第一步:找专杀工具:这里推荐使用“一键GHOST“,其中的DOS工具箱自带的小工具DISKRW就可以完美解决。 第二步:杀除MBR病毒 1、清除MBR以外的硬盘保留扇区。安装或制作好“一键GHOST”,开机进入一键 GHOST,最终出现红色界面时按ESC键退回到主菜单,按方向键选择“DOS工具箱”-->“DISKRW"-->"3.清除"-->"清除(2)“-->确定。(注意,尽量使用2010版,更早的版本不能保证有此功能)。 2、修复MBR(关键一步,必须做),接着上一步,选择“4.修复”-->“修复(F)“-->确定。第三步:重装或恢复系统。在第二步完成后,千万不要重启电脑进入WINDOWS了,否则会二次感染。正确的方法是,将系统安装光盘放入光驱中,重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份),也可以用“一键恢复系统”功能进行恢复。 第四步:全盘杀毒。返回WINDOWS后,需要升级你的杀毒软件到最新版本(最新病毒库),然后进行“全盘查杀”,这样可以把残留在非系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉,以做到“斩草除根”。 WindowsXP下MBRFix配合360安全卫士查杀 步骤一:开机打开任务管理器,结束(nat.exe) 步骤二:打开360安全卫士,选择系统修复来修复系统 步骤三:在网上下载一个工具(MBRFix),在XP下运行“CMD”进入DOS模式,运行(MBRFix/drive0fixmbr/yes)重启后OK 本文出自:亿恩科技【www.enkj.com】 |