大家好,阿林来为大家解答以上问题,鬼影病毒怎么中的,鬼影病毒专杀很多人还不知道,现在让我们一起来看看吧!
让不少网友变色的“幽灵病毒”,近日又爆出新变种“幽灵6”。该变种主要盗取用户的网游账号,免杀能力很强,甚至可以主动攻击杀毒软件。Ghost 6运行成功后,会导致杀毒软件无法正常启动,或者在查杀过程中崩溃。最可恨的是,连重装系统都修不好。目前只有金山毒霸能成功拦截并清除该病毒。
7月19日,金山毒霸安全中心鹰眼系统首次监测到Ghost 6爆发迹象。金山毒霸工程师对病毒样本进行深入分析发现,Ghost 6的技术深度远超国内外已知病毒,堪称“2012年技术含量最高的病毒”。
根据该病毒的技术特点,毒霸工程师在当天第一时间升级了防御方案,金山毒霸安全中心在短短几秒内实现了所有毒霸用户对该病毒的拦截和查杀。同时,金山毒霸工程师也在毒霸社区发出预警。为了更多没有安装毒霸的用户,23日公布了下载专杀计划,为网友排忧解难。
截至7月23日,估计Ghost 6已经感染了超过1万台电脑。被Ghost 6感染的电脑不仅杀毒软件异常,而且运行缓慢,经常蓝屏,还会自动下载梦幻西游、CF、盗号木马群等热门网游,导致用户财产受损。
根据金山安全实验室的监测,Ghost 6病毒主要通过用户下载CF月牙外挂或经典传奇私服等网络游戏插件进入电脑。病毒运行成功后,无法发现进程或系统启动附加的异常,即使格式化重装系统也无法彻底清除病毒。像鬼一样,所以叫鬼病毒。因此,该病毒成为国内首个‘引导区’下载器病毒。
图Ghost 6下载器文件拓扑图(图片来自金山毒霸)
由于Ghost 6病毒的免疫力非常强,可以绕过大多数主流杀毒软件的防御和查杀,可能会对国内用户造成比较大的损失。目前,金山毒霸(金山毒霸)是第一个掌握该病毒原理和破坏规律的安全软件。金山毒霸独有的边境防御已经完美支持对此类样本的拦截和防御。所以金山毒霸用户不需要恐慌。
同时,金山毒霸安全实验室提醒广大网络游戏玩家,要养成良好的上网和下载习惯,切勿从可疑或陌生的网站下载,同时,切勿下载任何未经验证的第三方游戏插件或客户端程序。
Ghost 6病毒的恶性行为分析:
隐藏端口驱动的相关驱动文件。上面第二点提到的StartIO被病毒套路替换后,如果要修复,其中一个方法就是使用相关驱动的原始文件,病毒将其隐藏,意图使相关修复失败。在这一点上,可以明显体现出病毒作者对rootkit对策流程的理解。
不断写回StartIO例程,即使相关软件使用特殊方法修复StartIO例程,病毒也会再次修改。
隐藏病毒内存模块和文件模块。内存模块隐藏在内核模块的末尾,而文件模块以扇区的形式隐藏在磁盘的末尾,这些扇区也在上述病毒StartIO例程的保护范围之内。(无文件)
防止主流软件查杀、方舟工具、专杀的运行,具有很强的AV特性。
由于该病毒是组合拳,Ghost 6除了上述恶性行为外,还会下载大量盗号木马来盗取用户游戏中的金钱。
用户安全解决方案:
1.金山毒霸用户已安装。
毒霸特有的边防,已经完美支持了这类样本的拦截防御。因此,用户无需恐慌。但使用过cf插件、传奇服务器、关闭过毒霸的用户,如果出现电脑卡、运行缓慢等疑似Ghost 6中毒现象
图2:金山顽固病毒木马查杀截图(图片来自金山毒霸)
ghost病毒的进化历史:
Ghost 1:感染mbr,不加密。
Ghost 2:加密被感染的mbr,通过diskhook保护mbr。
Ghost 3:感染了beep.sys,hook StartIO保护mbr。
Ghost 4:感染特定的主板bios,从而保护被感染的mbr不被修复。
Ghost 5:感染atapi ntfs驱动,反复写保护mbr。
Ghost 6:保护mbr不被atapi ntfs startio回写av技术修复。最大的亮点是防查杀的无病毒文件。
本文到此结束,希望对大家有所帮助。