"鬼影"病毒入侵原理與感染后可能出現的癥狀(4)

　　1.“鬼影”病毒母體運行后，會釋放兩個驅動到用戶電腦中，并加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式，嘗試修改IE屬性。 　　(分析：病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標，便于病毒的真正母體隱藏得更好)

　　2.a驅動會修改系統的主引導記錄(mbr)，并將b驅動寫入磁盤，保證病毒是優先于系統啟動，且病毒文件保存在系統之外。這樣進入系統后，病毒加載入內存，但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。 　　(“鬼影”病毒是近年來極為罕見的技術型病毒，病毒作者具有高超的編程技巧。因WinXP系統的限制，一般手法改寫MBR會被系統判定為非法，這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制，直接改寫MBR的技術一般稱之為MBR-rootkit，主要在國外技術論壇傳播，在“鬼影”病毒之前，這一技術少有被黑客利用的案例。)

　　3.病毒母體自刪除。

　　4.重啟系統后，主引導記錄(MBR)中的惡意代碼會對windows系統的整個啟動過程進行監控，發現系統加載ntldr文件時，插入惡意代碼，使其加載b驅動。

　　5.b驅動加載起來后，會監視系統中的所有進程模塊，若存在安全軟件的進程，直接結束。

　　6.b驅動會下載av終結者到電腦中，并運行。 　　7.下載的av終結者病毒會修改系統文件，對安全軟件進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產。 　　8.該病毒只針對Winxp系統，尚不能破壞Vista和Win7系統。

　　金山查殺后手動善后

　　開始-運行-msconfig。

　　1.選擇“啟動”，把ali前面的勾去掉，單擊應用。 　

　　2.開始-運行-win.ini，內容已被更改為：

　　[DownLoad] 　　
exe1=coopen-
3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe 　　
exe2= 　　
[ad] 　　
ad1=12[HomePage] 　　
home= 　　
[Time] 　　
DownLoadIniTime=60 　　
PopAdTime=2 　　
DownLoadLelayTime=1RunDelayTime=0 　　
FirstRunExeTime=2 　　
FirstPopWidTime=1 　　
cjver=2 　　
cjaddr= 　　
[Link]Link1=手機圖鈴|http://66.79.168.187:55325/tuling.html 　　
ing.html 　　
替換為 　　
; for 16-bit appsupport 　　
[fonts] 　　
[extensions] 　　
[mci extensions] 　　
[files] 　　
[Mail] 　　
MAPI=1CMCDLLNAME32=mapi32.dll 　　
CMCDLLNAME=mapi.dll 　　
CMC=1 　　MAPIX=1 　　
MAPIXVER=1.0.0.1OLEMessaging=1 　　
[MCI Extensions.BAK] 　　
aif=MPEGVideo 　　
aifc=MPEGVideo 　　
aiff=MPEGVideoasf=MPEGVideo 　　
asx=MPEGVideo 　　
au=MPEGVideo 　　
m1v=MPEGVideo 　　
m3u=MPEGVideo
mp2=MPEGVideo 　　
mp2v=MPEGVideo 　　
mp3=MPEGVideo 　　
mpa=MPEGVideo 　　
mpe=MPEGVideo
mpeg=MPEGVideo 　　
mpg=MPEGVideo 　　
mpv2=MPEGVideo 　　
snd=MPEGVideo 　　
wax=MPEGVideo
wm=MPEGVideo 　　
wma=MPEGVideo 　　
wmv=MPEGVideo 　　
wmx=MPEGVideo 　　
wpl=MPEGVideo
wvx=MPEGVideo 　　
m2v=MPEGVideo 　　
mod=MPEGVideo 　　
保存，退出

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]