鬼影病毒分析介绍及手工处理方法

自2010年鬼影病毒问世以后,它是一种时新歹意软件的开端。。经两年多的开展,鬼影病毒“繁衍”了生殖又生殖,塑造了指向鲜艳的鬼影家族使处于某种状况。把某事归因于某人称之为鬼影病毒,首要是因病毒寄生在磁盘主指导记载(MBR)上。,是否砂砾层使格式化了,甚至重装零碎,它不克不及完整移除。,像有议论余地的魅影普通依附于电脑,参加使彻底失败使感到不适。

鬼影病毒是晚近较比少见的技术型病毒,病毒作者有高明的规划熟练。。一旦病毒进入数纸机,就像恶魔同样的,遮蔽在零碎此外,率先从用手操作零碎内核使承受压力,因而即便是重生零碎,由于MBR不重写,病毒依然在。鬼影病毒眼前已开展到特别感应代,涌现了大量脾气。,每个变体的行动是不同样的的。,不管到什么程度他们都有东西公共点,它是修正MBR。。

MBR,全名是主人。 Boot Record,砂砾层的主指导记载。砂砾层中间的0缸0磁道1把正式送入精神病院,不属于什么都可以用手操作零碎,数纸机行动、底板自检后,运用砂砾层时只好读取的第东西把正式送入精神病院。。砂砾层本质上的交流和每个PA的变得越来越大和驻扎军队。,是材料交流的要紧引进。假设损坏了,砂砾层上的根本材料结构交流将空投。,要想在东西tediou重构材料结构交流,重行运用原始材料是可能性的。。

主指导把正式送入精神病院的读取折术如次:

1. BIOS加自检;

2. 读取MBR,当BIOS检测计算机硬件和CMOS线不变的设置,反省引起的启动使牢固中设置启动使牢固我的定货单;

3. 反省MBR完毕预示相同的人55aah,假设不相同的人旋转,请尝试支撑物物启动使牢固。,假设缺席启动使牢固以使满足索赔,它显示不 ROM BASIC”,那时的下台;

4. 当使牢固被检测到使满足索赔时,BIOS给对应的的启动使牢固供给把持。;

5. 启动本指导信号在启动使牢固的MBR指导顺序。

从下面的折术可以看出,MBR对用手操作零碎有多要紧?,一旦被病毒使失事或翻转,这对零碎来应该致命的。。因鬼影病毒而起来的MBR-Rootkit技术垮台了规矩病毒的传染指向同时用户处置病毒成绩的有思想的一副,它也具有划时代的意思。。定冠词是上鬼家族的第三代。,有必然的特有的或特别的。

病毒气象与行动

1) 桌面和感觉最敏锐的地方启动栏何止仅是假装的快捷方式。,主枝被伪造者了。,同时不克不及被修正。

图1:IE主枝被伪造者

2) 锉刀夹选择能力的设置举行修正,遮蔽锉刀扩展名、不要显示遮蔽锉刀和锉刀夹。,重行启动数纸机,并将其更顶替遮蔽。

图2:锉刀夹选择能力的设置举行修正

3) 在税收管理人的使焦虑折术中也东西,经过检查折术pid,显示在XueTr的学术语相比,不难暴露,PID是不变的零碎折术的1784。,在C:\ Windows \ System32,而pid 1848的折术有效地是C文档。 and Settings\All Users\Documents\My Videos\假装成的,迷惑人的。

图3:假装成东西零碎折术的病毒传送

4) MBR运用XueTr检测 Rookit效能,提词未知MBR。

图4:MBR XueTr检测非常

在上的气象不管到什么程度肉眼的气象。,经极小的辨析,病毒的行动首要有以下几个的柱槽筋:

A. 病毒运转后,它会翻开磁盘到磁盘交流,经过计算变得越来越大来计算磁盘的材料存储器驻扎军队。读取MBR和后援,到这程度,当零碎I时,可以呼唤原始MBR来指导零碎。,那时的修正MBR,变卖在零碎启动的首次获取把持权。

B. 传送驱动器锉刀和使承受压力,钩的SCSI驱动器效能,过滤一点点用手操作以变卖材料遮蔽,支撑物病毒的MBR不能的被革新。。在其他人走后留下来5秒,传送C:\\文档 and Settings\All Users\Documents\My Videos\,发觉记录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动项,这个名字是ALG,路程是c。

C. 迅速离开C:\ Windows \ System32 \火车司机\锉刀,重行启动数纸机后,可以平顺地将其掉换到零碎中。。

D. 修正锉刀夹选择能力的设置,遮蔽锉刀扩展名,不显示遮蔽锉刀,发觉东西假装的IE快捷方式在桌面和感觉最敏锐的地方启动栏,修正主枝,系统下载指派的锉刀。

手工处置方式

1) 完毕病毒使焦虑男高音并迅速离开该锉刀。

图5:完毕男高音并迅速离开锉刀

2) 迅速离开病毒发觉的ALG的启动项。

图6:迅速离开病毒发觉的ALG的启动项

3) 摘除,代替SCSI钩挂在。

图7:灭绝SCSI hook

4) 重新安放或安置MBR经过XueTr,你必要提早支撑物东西不变的的MBR。,变更病毒点缀MBR。

图8:革新MBR

5) 在IE设置中修正被不明推论式病毒的主枝,源自支撑物物使清洁的人或物零碎的零碎驱动器顺序产品样本的复本。

通读完整文,是否觉得网上传得很大的的鬼影病毒不再这么无经验的和引起突然惊恐的了?MBR-RootKit技术预先阻止首要国外的技术论坛增殖,近几年因鬼影病毒的涌现才在海内火了一把。在鬼影病毒预先阻止,黑客运用的技术一点。,但未来可能性会有更多的歹意软件运用该技术留在。为了家庭用户来说,认识更多上病毒的知,辩护相对是好的。。

[以蓝色铅笔删改的提议]

[责任以蓝色铅笔删改]:

蓝雨的眼泪,泪水

TEL:(010)68476606】

点赞 0

发表评论

电子邮件地址不会被公开。 必填项已用*标注