MBR病毒-淘宝网-的真实面目

missingyou

桌面的淘宝网快捷方式可以强行删除，可以使用各种清除工具，但重启后会恢复。重装系统无效，分区无效，除非清除MBR
并且有很多种不同病毒，有的没有特殊进程，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒，最重要的是重装系统都不能清除该病毒。创建的快捷方式也有所不同，有的进程里有NAT.EXE，有的是有两个alg.exe进程.有的找不到病毒进程


很多人都中了这种病毒，这个月已经接到8个顾客中了这个病毒。不要再说我GHOST文件有问题了

　　“鬼影”病毒，修改系统引导区(mbr)，结束杀软，下载AV终结者病毒。
　　捆绑IE首页篡改器，修改用户浏览器首页，桌面添加多余的快捷方式。
　　“鬼影”病毒运行后，会释放2个驱动到用户电脑中，并加载。
　　驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

　　病毒母体自删除。
　　重启系统后，存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。
　　b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。
　　b驱动会下载av终结者到电脑中，并运行。
　　av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产



以前，常听用户说，中毒了没关系，大不了重装系统。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
颠覆传统  重装系统无法清除
   金山安全反病毒专家表示，“一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR）,在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒，安全软件无法进行拦截。因病毒比安全软件的启动还要早。
   李铁军表示，“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统；全新的病毒技术，突破了普通杀毒软件的自保护，“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。
安全软件失效 电脑明显变慢
   金山安全实验室的研究人员分析发现，这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的，目前的日感染电脑约2-3万台。“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。
罕见技术型病毒  源于国外
   “鬼影”病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说，目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows 7系统。
   另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。






、鬼影病毒概述
　　这是一个木马下载器，使用了ring3恢复内核钩子、感染磁盘引导区（MBR）、多种方法结束杀毒软件等技术自启动并对抗杀毒软件。完全感染后，是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。
　　二、鬼影病毒分析
　　1病毒的启动方法
　　感染MBR以获得凌驾于操作系统的启动权->HOOK文件操作中断，搜索NTLDR文件（主要目标xp，2003系统）进行hook->hook内核函数实现优先加载驱动并执行病毒驱动>后期其他操作（比如下载盗号木马，统计感染量等）
图1，鬼影病毒感染前后，MBR的变化。








2.生成部分文件
　　%ProgramFiles%\MSDN\atixx.sys(工作驱动)
　　%ProgramFiles%\MSDN\atixi.sys(负责将其他文件写入引导区)
　　%ProgramFiles%\MSDN\000000000(木马下载器)
　　%ProgramFiles%\MSDN\atixx.inf(驱动安装脚本
　　%ProgramFiles%\MSDN\atixi.inf(驱动安装脚本)
　　以上文件使用后会自删除。
　　3.Ring3还原各种钩子
　　读取原始KiServiceTable表，还原SSDT表，其他特定钩子的恢复。
　　4.结束卡巴斯基(R3)
　　通过结束卡巴斯基事件句柄BaseNamedObjects\f953EA60-8D5F-4529-8710-42F8ED3E8CDC使得卡巴进程异常退出。
　　5.结束其它杀软(R3)
　　获取杀毒软件进程的公司名，进行hash运算并跟内置杀软的HASH值进行比较，发现相同就结束进程。
　　6.桌面创建一个名为成人播放器的快捷方式并 指向**网站，并修改IE首页为http://www.ttjlb.com/
　　7.抹掉线程起始地址防止被手工检测
　　8.找到explorer（资源管理器）进程，然后插入用户态的apc实现下载病毒木马的功能
　　9.枚举进程对象，比较进程对应文件的公司名。发现需对抗进程则获取线程对象然后结束线程，此时杀软进程异常退出
　　10.感染引导区，并将其它文件写入引导区
　　隐蔽加载难发现，反复感染的难清除
　　11.木马下载器功能
　　下载针对魔兽，DNF，梦幻西游等热门游戏盗号木马。
　 12.桌面创建一个名为成人播放器的快捷方式并 指向**网站，并修改IE首页为http://www.ttjlb.com/
　　三、感染以后可能现象
　　1电脑非常卡，操作程序有明显的停滞感，常见杀毒软件无法正常打开，同时发现反复重装系统后问题依旧无法解决
　　2系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常
　　rpcss.dll，ddraw.dll（这个是盗号木马现在常修改的系统dll）

　3QQ号码被盗，可被黑客用来传播广告等
　　4魔兽，DNF，天龙八部，梦幻西游等游戏帐号被盗
　　5进程中存在iexplore.exe进程并指向一个不正常的网站

[ 本帖最后由 missingyou 于 2010-8-13 22:27 编辑 ]

2010xiaojie

我也中过这个毒 用安全卫士 加杀软杀掉

2010qiaosky110

恩。我中过3次了！重写mbr好用吗？

251431753

以前碰了好多

情剑无伤

这个有点厉害de病毒，多谢分享

2010nie1982

还好用的是WIN7.。。。没看到怎么冶？

chujiafu

这种病毒在Dos用Fdisk /mbr重写MBR不知行不行？

小松鼠

原帖由 8413024 于 2010-8-15 05:27 发表
现在感觉自己伟大了,装个xp系统只用30秒钟,c:d:E:f:到处都是我的系统,它能奈我何?
--------------------------------------------------------------------------------------------------------------------- ...

30秒装系统,怎么装的?能说明一下?

2010songpo

这个病毒有点厉害，多谢分享

枫恋蓝点

遇到过一次，小问题而已。。

小松鼠

重写MBR都有哪些软件?

于山

我是采用的是：
c区格式化、恢复主引导区、恢复系统导区。
再恢复c区备份gho，即ok！

mfkwgij

确实很厉害哦！~支持了

shy999

老病毒又复活了。

79339656

给宾馆装的几台机器，冰点7.0也照样被搞坏。系统是干净的，但是每次启动就要启动病毒，很郁闷。
前几天的一台电脑种的病毒似乎更绝：重写MBR都不管用，还有什么可能？

2010revenge12

我才遇到的，装了系统，杀了几百个毒还是不行。。。
最后重新分区才搞好

2010prawn2000a

我白目地請教一下，是不是用pauly大大的bootice重造一個mbr就解決了？
毒都不會再運行了？

原帖由 zhxy9804 于 2010-9-4 23:14 发表

是啊，完全不值得一提，中了就用mbr修复

2010awen

小事一桩的东西，容易搞定

zhongtian1552

应该不是很麻烦啊？更新一下MBR

ok98

原帖由 lovelyxzq 于 2010-8-15 07:56 发表
我有一次给客户修电脑，他一开机用一会就肯定掉网了，重装N次不管用，当时想到ARP病毒，然后我从容的又重装了一遍，装上NOD32杀毒软件，结果，刚开机就报一个2008.exe病毒在运行，0分区什么的也有代码，无法清除 ...

我上次也是这样， 2008.exe 记得非常清楚。

PE重建了MBR然后全盘杀毒，结合冰点7.0，没几天又中着了。

mayura

感谢这么详细的说明，3Q..

8413024

哈哈说不定就是无忧弄出来的,也不知到底谁造的,两个嫌犯:一杀毒公司,二启动玩家.

yjd

这种话题拿到无忧都是简单的事情，无忧专业就是玩启动的。

2010qiankun

开起来很牛但是重写MBR还有用鬼影专杀就能解决掉啊。

ackboy

这毒刚出来的时候我给人转系统转了4次 快崩溃
第一次装完就跳桌面图标出来 还有进程 怀疑其他盘有毒没清干净
第二次装完又是这样 怀疑没拔网线
第三次怀疑我的GHOST文件有问题了
第四次重建MBR再装才OK

2010songalways

这个用金山网盾完美解决。~

2010t

还没碰到，谢谢提醒啊

2010fastbird

楼主说的这个根据xp启动过程mbr+pbr+ntldr+boot.ini，前几天也中了一次淘宝病毒搞不定，重建mbr+pbr，然后用心的ntldr覆盖发现，问题还在，然后通过360的木马专杀工具发现病毒是修改了dll，然后将其干掉。

七仙花

原帖由 8413024 于 2010-8-15 05:27 发表
现在中了exe病毒,把我的文件夹变成隐形,造出许多同名exe.虽未伤元气,但不知怎样消灭它??各位大大有好的办法没有?

使用搜索功能，搜索这个同名的文件，然后ctrl +A 接着shift+Delete全部搞定。

我就是用这种方法删除U盘病毒感染后生成的那个_desktop.ini文件。

[ 本帖最后由 七仙花 于 2010-8-16 22:21 编辑 ]