亚洲无码高清视频在线 "鬼影"病毒入侵原理与感染后可能出现的症状(4) |
发布时间: 2012/6/11 19:31:40 |
病毒特征描述
1.“鬼影”病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。 (分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好) 2.a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。 (“鬼影”病毒是近年来极为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR-rootkit,主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客利用的案例。) 3.病毒母体自删除。 4.重启系统后,主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。 5.b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。 6.b驱动会下载av终结者到电脑中,并运行。 7.下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。 8.该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。 金山查杀后手动善后 开始-运行-msconfig。 1.选择“启动”,把ali前面的勾去掉,单击应用。 2.开始-运行-win.ini,内容已被更改为: [DownLoad] 本文出自:亿恩科技【www.sdyiwande.com】 |