3月15日,金山安全实验室捕获一种被命名为"鬼影"的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除.当系统再次重启时,该病毒会早于操作系统内核先行加载.而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象"鬼影"一样在中毒电脑上"阴魂不散"."鬼影"病毒也因此成为国内首个"引导区"下载者病毒.
鬼影病毒特征--重装系统也杀不掉
以前,常听用户说,中毒了没关系,大不了重装系统.但现在,这句话将成为历史.3月15日,金山安全实验室捕获一种被命名为"鬼影"的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除.当系统再次重启时,该病毒会早于操作系统内核先行加载.而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象"鬼影"一样在中毒电脑上"阴魂不散".
颠覆传统 重装系统无法清除
金山安全反病毒专家表示,"一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行.而"鬼影"病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行.对于已经寄生于MBR中的病毒,安全软件无法进行拦截.因病毒比安全软件的启动还要早.
李铁军表示,"鬼影"病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了"三无"特性--无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统;全新的病毒技术,突破了普通杀毒软件的自保护,"鬼影"病毒可以说是一个具有"划时代"特征的电脑病毒.
安全软件失效 电脑明显变慢
金山安全实验室的研究人员分析发现,这个"鬼影"病毒是随某些共享软件捆绑安装进入电脑的,目前的日感染电脑约2-3万台."鬼影"病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利.中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改.
罕见技术型病毒 源于国外
"鬼影"病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧.因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素.这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在"鬼影"病毒之前,这一技术少有被黑客实际大规模利用的案例.金山安全实验室工程师说,目前"鬼影"病毒只针对Winxp系统,该病毒尚不能破坏Vista和Windows 7系统.
另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析"鬼影"病毒的人屈指可数.因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对"鬼影"病毒的专杀工具.
金山毒霸已经升级,可查杀传播"鬼影"病毒的母体文件,避免更多用户受"鬼影"病毒之害,用户只需要在线升级即可获得相应防御能力.金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的"鬼影"病毒.
"鬼影"病毒分析报告
一、简介
该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒,最重要的是重装系统都不能清除该病毒.
二、具体行为
1、该病毒伪装为某共享软件,欺骗用户下载安装.
病毒文件中包含3部分文件:
A、原正常的共享软件.
B、"鬼影"病毒,修改系统引导区(mbr),结束杀软,下载AV终结者病毒.
C、捆绑IE首页篡改器,修改用户浏览器首页,桌面添加多余的快捷方式.
2,"鬼影"病毒运行后,会释放2个驱动到用户电脑中,并加载.
3,驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外.这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块.
4,病毒母体自删除.
5,重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动.
6,b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束.
7,b驱动会下载av终结者到电脑中,并运行.
8,av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马.进一步盗取用户的虚拟财产.
三、小结
"鬼影"病毒是第一个引导区下载者病毒,超越了传统的引导区病毒和下载者病毒,不光做到了三无特性,而且就算用户重装了系统,他也会阴魂不散的再次进入用户新系统,全新的结束手法,突破杀毒软件的自保护."鬼影"病毒是一个划时代的病毒.
病毒防治办法:
磁盘主引导记录(MBR)简介:
MBR(Master Boot Record),中文意为主引导记录.电脑开机后,主板自检完成后,被第一个读取到的磁盘位置.硬盘的0磁道的第一个扇区称为MBR,它的大小是512字节,它是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取.DOS时代泛滥成灾的引导区病毒多寄生于此.
电脑系统开机过程介绍:
开启电源开机自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存.然后,将控制权交给主引导程序,再检查分区表的状态,寻找活动的分区.最后,由主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统.
病毒清除方法:
通常用DOS时代的办法,比如重写主引导记录FDISK /MBR 这个命令可以对付覆盖型的引导区病毒,但它不是万能的,转移性的引导区病毒无法清除!
在这里笔者建议用俄罗斯出产的磁盘工具软件MHDD中的ERASE命令来重新擦写硬盘,实践证明,已经报修的客户机使用后效果非常明显,清除病毒后,下载一些专杀病毒软件进行防护即可!
MHDD使用方法简介:
MHDD
1、MHDD是俄罗斯Maysoft公司出品的专业硬盘工具软件,具有很多其他硬盘工具软件所无法比拟的强大功能,它分为免费版和收费的完整版,本文介绍的是免费版的详细用法.
2、MHDD无论以CHS还是以LBA模式,都可以访问到128G的超大容量硬盘(可访问的扇区范围从512到137438953472),即使你用的是286电脑,无需BIOS支持,也无需任何中断支持;
3、MHDD最好在纯DOS 6.22/7.10环境下运行;
4、MHDD可以不依赖于主板BIOS直接访问IDE口,但要注意不要使用原装Intel品牌主板;
5、不要在要检测的硬盘中运行MHDD;
6、MHDD在运行时需要记录数据,因此不能在被写保护了的存储设备中运行(比如写保护的软盘、光盘等);
MHDD命令详解
EXIT(热键Alt+X):退出到DOS.
ID:硬盘检测,包括硬盘容量、磁头数、扇区数、SN序列号、Firmware固件版本号、LBA数值、支持的DMA级别、是否支持HPA、是否支持AAM、SMART开关状态、安全模式级别及开关状态……等).
INIT:硬盘初始化,包括Device Reset(硬盘重置)、Setting Drive Parameters(设定硬盘参数)、Recalibrate(重校准).
I(热键F2):同时执行ID命令和INIT命令.
ERASE:快速删除功能,每个删除单位等于255个扇区(数据恢复无效).
AERASE:高级删除功能,可以将指定扇区段内的数据逐扇区地彻底删除(比ERASE慢,数据恢复同样无效),每个删除单位等于1个扇区.
HPA:硬盘容量剪切功能,可以减少硬盘的容量,使BIOS检测容量减少,但DM之类的独立于BIOS检测硬盘容量的软件仍会显示出硬盘原始容量.
NHPA:将硬盘容量恢复为真实容量.
RHPA:忽略容量剪切,显示硬盘的真实容量.
CLS:清屏.
PWD:给硬盘加USER密码,最多32位,什么也不输入表示取消.被锁的硬盘完全无法读写,低格、分区等一切读写操作都无效.如果加密码成功,按F2键后可以看到Security一项后面有红色的ON.要注意,设置完密码后必须关闭电源后在开机才会使密码起作用;
UNLOCK:对硬盘解锁.先选择0(USER),再正确输入密码.注意:选择1(Master)无法解开密码.
DISPWD:解除密码,先选择0(USER),再正确输入密码.在用DISPWD之前必须先用UNLOCK命令解锁.要注意,除了用UNLOCK和DISPWD命令可以解密码之外,没有任何办法可以解锁.而且一旦将密码遗忘(或输入错误),也没有任何办法可以解锁.如果解密码成功,按F2键后可以看到Security一项后面有灰色的OFF.注意:选择1(Master)无法解开密码.
RPM:硬盘转速度量(非常不准,每次测量数值都不同).
TOF:为指定的扇区段建立映像文件(最大2G).
FF:从映像文件(最大2G)恢复为扇区段.
AAM:自动噪音管理.可以用AAM(自动噪音管理)命令"所听即所得"式的调节硬盘的噪音.按F2键后如果有AAM字样,就表示硬盘支持噪音调节.键入AAM命令后,会显示出当前硬盘的噪音级别,并且可以马上就听到硬盘的读写噪音,要注意硬盘的噪音和性能是成正比的,噪音越大,性能越高,反之亦然.进入AAM命令后,按0键可以关闭AAM功能,按M键可以将噪音调至最小(性能最低),按P键可以将噪音调至最大(性能最高),按+加号和-减号可以自由调整硬盘的噪音值(数值范围从0到126),按L键可以获得噪音和性能的中间值(对某些硬盘如果按+加号和-减号无效,而又不想让噪音级别为最大或最小,可以按L键取噪音中间值),按D键表示关闭AAM功能,按ENTER键表示调整结束;
FDISK:快速地将硬盘用FAT32格式分为一个区(其实只是写入了一个MBR主引导记录),并设为激活,但要使用还需用FORMAT完全格式化.
SMART:显示SMART参数,并可以对SMART进行各项相关操作.SMART ON可以开启SMART功能,SMART OFF可以关闭SMART功能,SMART TEST可以对SMART进行检测.
PORT(热键Shift+F3):显示各IDE口上的硬盘,按相应的数字即可选择相应口的硬盘,之后该口会被记录在/CFG目录下的MHDD.CFG文件中,1表示IDE1口主,2表示IDE1口从,3表示IDE2口主,4表示IDE2口从,下次再进入MHDD后此口就成了默认口,编辑MHDD.CFG文件改变该值就可以改变MHDD默认的检测端口.所以,如果进入MHDD后按F2提示Disk Not Ready,就说明当前硬盘没有接在上次MHDD默认的那个口上,此时可以使用PORT命令重新选择硬盘(或更改MHDD.CFG文件).
CX:对昆腾CX和LCT(包括LA、LB、LC)系列硬盘进行寻道测试,可以考验这两类硬盘上的飞利浦TDA5247芯片的稳定性(因为质量不好的5247芯片在频繁寻道时最容易露出马脚).按ESC键停止.此命令也可用在其他硬盘上,它主要通过频繁随机寻道来提升硬盘电机驱动芯片的温度,从而测试硬盘在强负荷下的稳定性.
WAIT:等待硬盘就位.
STOP(热键Shift+F4):关闭硬盘马达.
IBME:查看IBM硬盘缺陷表(P-LIST).此时要记录大量数据,缺陷表越大,生成的文件(在IBMLST目录下)越大,如果MHDD存在软盘上的话,有可能会空间不足;
FUJLST:查看富士通硬盘缺陷表(P-LIST).此时要记录大量数据,缺陷表越大,生成的文件(在FUJLST目录下)越大,如果MHDD存在软盘上的话,有可能会空间不足;
MAKEBAD:人为地在某个指定区域内制造坏道.注意,由它生成的坏道很难修复.
RANDOMBAD:随机地在硬盘的各个地方生成坏道,按ESC键停止生成.注意,由它生成的坏道很难修复.
BATCH(热键F5):批处理.
R(热键F3):硬盘复位.比如使用了PWD加密码后,为了使密码马上生效,可以用此命令.
FUCKFUJ、KILLFUJ、AKILLFUJ:都是刻意破坏富士通硬盘的命令,一定谨慎使用,否则硬盘将被彻底损坏,无法修复.某一切正常的富士通硬盘,在使用FUCKFUJ命令后,仅一、两秒种,就提示破坏成功,重新启动后,连自检动作都消失了,主板检测不到,硬盘彻底报废.
SCAN(热键F4):盘面扫描,可以用特定模式来修复坏扇区,其中:
[Scan in: CHS/LBA]:以CHS或LBA模式扫描.CHS只对500M以下的老硬盘有效.
[Starting CYL]:设定开始扫描的柱面.
[Starting LBA]:设定开始扫描的LBA值.
[Log: On/Off]:是否写入日志文件.
[Remap: On/Off](重新映像):是否修复坏扇区.
[Ending CYL]:设定终止扫描的柱面
[Ending LBA]:设定终止扫描的LBA值.
[Timeout(sec)]:设定超时值,从1到200,默认值为30.
[Advanced LBA log](高级LBA日志):此项不支持.
[Standby after scan]:扫描结束后关闭硬盘马达,这样即可使SCAN扫描结束后,硬盘能够自动切断供电,但主机还是加电的(属于无人职守功能).
[Loop the test/repair]:循环检测和修复,主要用于反复地修复顽固型坏道.
[Erase WAITs](删除等待):此项主要用于修复坏道,而且修复效果要比REMAP更为理想,尤其对IBM硬盘的坏道最为奏效,但要注意被修复的地方的数据是要被破坏的(因为Erase WAITS的每个删除单位是255个扇区).Erase WAITS的时间默认为250毫秒,数值可设置范围从10到10000.要想设置默认时间,可以打开/CFG目录下的MHDD.CFG文件,修改相应项目即可更改Erase WAITS数值.此数值主要用来设定MHDD确定坏道的读取时间值(即读取某扇区块时如果读取时间达到或超过该数值,就认为该块为坏道,并开始试图修复),一般情况下,不必更改此数值,否则会影响坏道的界定和修复效果.
屏幕第一行的左半部分为为状态寄存器,右半部分为错误寄存器;在屏幕第一行的中间(在BUSY和AMNF之间)有一段空白区域,如果硬盘被加了密码,此处会显示PWD;如果硬盘用HPA做了剪切,此处会显示HPA;
屏幕第二行的左半部分为当前硬盘的物理参数,右半部分为当前正在扫描的位置;
屏幕右下角为计时器,Start表示开始扫描的时间,Time表示已消耗的时间,End表示预计结束的时间,结束后会再显示Time Count,表示总共耗费了多长的时间;
在扫描时,每个长方块代表255个扇区(在LBA模式下)或代表63个扇区(在CHS模式下);
扫描过程可随时按ESC键终止;
方块从上到下依次表示从正常到异常,读写速度由快到慢.正常情况下,应该只出现第一个和第二个灰色方块;
如果出现浅灰色方块(第三个方块),则代表该处读取耗时较多;
如果出现绿色和褐色方块(第四个和第五个方块),则代表此处读取异常,但还未产生坏道;
如果出现红色方块(第六个,即最后一个方块),则代表此处读取吃力,马上就要产生坏道;
如果出现问号?,则表示此处读取错误,有严重物理坏道,无法修复.
注1:有些读写速度奇慢的硬盘如果用MHDD的F4 SCAN扫描并把EraseWAITS打开就可以看到,要么均匀分布着很多W,要么就是遍布着很多五颜六色的方块,这说明这类硬盘之所以读写速度奇慢,就是因为大量的盘片扇区有瑕疵,造成读写每个扇区都会耗费较长的时间,综合到一起就导致了整个硬盘读写速度奇慢.
注2:老型号硬盘(2、3G以下)由于性能较低、速度较慢,因此在F4 SCAN检测时很少出现第一个方块,而出现第二和第三个方块,甚至会出现第四个方块(绿色方块),这种情况是由于老硬盘读写速度慢引起的,并不说明那些扇区读写异常.
在扫描时使用箭头键可以灵活地控制扫描的进程,很象VCD播放机:↑快进2%;↓后退2%;←后退0.1%;→快进0.1%.灵活运用箭头键,可以对不稳定、坏道顽固的区段进行反复扫描和修复.
目前,这个软件已停止研发,但硬盘维修人员,仍 做为检测硬盘的首先,与pc3000配合使用. |
