"鬼影"病毒入侵原理与感染后可能出现的症状(4)

　　1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。 　　(分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好)

　　2.a驱动会修改系统的主引导记录(mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。 　　(“鬼影”病毒是近年来极为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术一般称之为MBR-rootkit，主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客利用的案例。)

　　3.病毒母体自删除。

　　4.重启系统后，主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

　　5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

　　6.b驱动会下载av终结者到电脑中，并运行。 　　7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。 　　8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

　　金山查杀后手动善后

　　开始-运行-msconfig。

　　1.选择“启动”，把ali前面的勾去掉，单击应用。 　

　　2.开始-运行-win.ini，内容已被更改为：

　　[DownLoad] 　　
exe1=coopen-
3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe 　　
exe2= 　　
[ad] 　　
ad1=12[HomePage] 　　
home= 　　
[Time] 　　
DownLoadIniTime=60 　　
PopAdTime=2 　　
DownLoadLelayTime=1RunDelayTime=0 　　
FirstRunExeTime=2 　　
FirstPopWidTime=1 　　
cjver=2 　　
cjaddr= 　　
[Link]Link1=手机图铃|http://66.79.168.187:55325/tuling.html 　　
ing.html 　　
替换为 　　
; for 16-bit appsupport 　　
[fonts] 　　
[extensions] 　　
[mci extensions] 　　
[files] 　　
[Mail] 　　
MAPI=1CMCDLLNAME32=mapi32.dll 　　
CMCDLLNAME=mapi.dll 　　
CMC=1 　　MAPIX=1 　　
MAPIXVER=1.0.0.1OLEMessaging=1 　　
[MCI Extensions.BAK] 　　
aif=MPEGVideo 　　
aifc=MPEGVideo 　　
aiff=MPEGVideoasf=MPEGVideo 　　
asx=MPEGVideo 　　
au=MPEGVideo 　　
m1v=MPEGVideo 　　
m3u=MPEGVideo
mp2=MPEGVideo 　　
mp2v=MPEGVideo 　　
mp3=MPEGVideo 　　
mpa=MPEGVideo 　　
mpe=MPEGVideo
mpeg=MPEGVideo 　　
mpg=MPEGVideo 　　
mpv2=MPEGVideo 　　
snd=MPEGVideo 　　
wax=MPEGVideo
wm=MPEGVideo 　　
wma=MPEGVideo 　　
wmv=MPEGVideo 　　
wmx=MPEGVideo 　　
wpl=MPEGVideo
wvx=MPEGVideo 　　
m2v=MPEGVideo 　　
mod=MPEGVideo 　　
保存，退出

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]