二、具体行为
1、该病毒伪装为某共享软件,欺骗用户下载安装。
病毒文件中包含3部分文件:
A、原正常的共享软件。
B、“鬼影”病毒,修改系统引导区(mbr),结束杀软,下载AV终结者病毒。
C、捆绑IE首页篡改器,修改用户浏览器首页,桌面添加多余的快捷方式。
2,“鬼影”病毒运行后,会释放2个驱动到用户电脑中,并加载。
3,驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
4,病毒母体自删除。
5,重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。
6,b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
7,b驱动会下载av终结者到电脑中,并运行。
8,av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。
三、小结
“鬼影”病毒是第一个引导区下载者病毒,超越了传统的引导区病毒和下载者病毒,不光做到了三无特性,而且就算用户重装了系统,他也会阴魂不散的再次进入用户新系统,全新的结束手法,突破杀毒软件的自保护。“鬼影”病毒是一个划时代的病毒。 |
|
|
|
|
|
|
|
|
[复制链接]
1297
1
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡