中“鬼影”病毒的解決辦法
最近在維護(hù)網(wǎng)吧客戶端的時(shí)候,發(fā)現(xiàn)客戶端總是被病毒穿透,查電腦沒(méi)發(fā)現(xiàn)病毒。上網(wǎng)查,原來(lái)是中了“鬼影”病毒,這個(gè)病毒真的是太利害了。
該病毒一旦進(jìn)入電腦,就像惡魔一樣,隱藏在系統(tǒng)之外,無(wú)文件、無(wú)系統(tǒng)啟動(dòng)項(xiàng)、無(wú)進(jìn)程模塊,比系統(tǒng)運(yùn)行還早,結(jié)束所有殺毒軟件,下載av終結(jié)者,盜號(hào)木 馬,ie主頁(yè)修改等大量多品種病毒,最重要的是重裝系統(tǒng)都不能清除該病毒
癥狀:
1、該病毒偽裝為某共享軟件,欺騙用戶下載安裝。
病毒文件中包含3部分文件:
A、原正常的共享軟件。
B、“鬼影”病毒,修改系統(tǒng)引導(dǎo)區(qū)(mbr),結(jié)束殺軟,下載AV終結(jié)者病毒。
C、捆綁IE首頁(yè)篡改器,修改用戶瀏覽器首頁(yè),桌面添加多余的快捷方式。
2,“鬼影”病毒運(yùn)行后,會(huì)釋放2個(gè)驅(qū)動(dòng)到用戶電腦中,并加載。
3,驅(qū)動(dòng)會(huì)修改系統(tǒng)的引導(dǎo)區(qū)(mbr),并將b驅(qū)動(dòng)寫(xiě)入磁盤,保證病毒是優(yōu)先于系統(tǒng)啟動(dòng),且病毒文件保存在系統(tǒng)之外。這樣進(jìn)入系統(tǒng)后,病毒加載入內(nèi)存,但 找不到任何啟動(dòng)項(xiàng)、找不到病毒文件、在進(jìn)程中找不到任何進(jìn)程模塊。
4,病毒母體自刪除。
5,重啟系統(tǒng)后,存在在引導(dǎo)區(qū)中的惡意代碼會(huì)對(duì)windows系統(tǒng)的整個(gè)啟動(dòng)過(guò)程進(jìn)行監(jiān)控,發(fā)現(xiàn)系統(tǒng)加載ntldr文件時(shí),插入惡意代碼,使其加載寫(xiě)入引 導(dǎo)區(qū)第五個(gè)扇區(qū)的b驅(qū)動(dòng)。
6,b驅(qū)動(dòng)加載起來(lái)后,會(huì)監(jiān)視系統(tǒng)中的所有進(jìn)程模塊,若存在安全軟件的進(jìn)程,直接結(jié)束。
7,b驅(qū)動(dòng)會(huì)下載av終結(jié)者到電腦中,并運(yùn)行。
8,av終結(jié)者會(huì)修改系統(tǒng)文件,對(duì)安全軟件進(jìn)程添加大量的映像劫持,下載大量的盜號(hào)木馬。進(jìn)一步盜取用戶的虛擬財(cái)產(chǎn)。
現(xiàn)在的解決辦法是:
1、把還原服務(wù)器系統(tǒng)升級(jí)到最新
2、把客戶端格式化C盤后,在重裝系統(tǒng)之前,先用 fdisk/mbr 命令清除掉主引導(dǎo)區(qū)的病毒引導(dǎo)代碼,再把系統(tǒng)全部重做,系統(tǒng)補(bǔ)丁打到最新。
記?。喝绻恢刈鱿到y(tǒng),沒(méi)有清除MBR,系統(tǒng)做好后也會(huì)很快中毒的。
關(guān)鍵詞:鬼影病毒,解決辦法
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 0
- 0
- 0
- 0
- 0
- 0