winxp下的MBR病毒！（转）

dos时代菜鸟 · 发表于 2010-4-6 18:23:18

重装依然无法清除的重大病毒鬼影袭击XP
以前，常听用户说，中毒了没关系，大不了重装系统。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。　　颠覆传统重装系统无法清除
　　金山安全反病毒专家表示，“一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR）,在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒，安全软件无法进行拦截。因病毒比安全软件的启动还要早。
　　李铁军表示，“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统；全新的病毒技术，突破了普通杀毒软件的自保护，“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。
　　安全软件失效电脑明显变慢
　　金山安全实验室的研究人员分析发现，这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的，目前的日感染电脑约2-3万台。“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。
　　罕见技术型病毒源于国外
　　“鬼影”病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说，目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows7系统。
　　另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。
　　金山毒霸已经升级，可查杀传播“鬼影”病毒的母体文件，避免更多用户受“鬼影”病毒之害，用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。

转 http://soft.cfan.com.cn/safe/201003/22/1269226582d6526.shtml

wang6610 · 发表于 2010-4-6 20:05:06

fdisk /mbr

可以吗?

yyjdelete · 发表于 2010-4-6 20:11:29

还有Windows下子体，记得金山毒霸首页有专杀

yjd · 发表于 2010-4-6 21:39:23

转个贴：

======================================
飓风软件工作室目前已全面停止了飓风穿还原下载者的二次开发,删除了飓风下载者全部源代码,飓风软件工作室自今日起将不进行任何黑客类软件开发！

请某某公司不要将MBR感染技术吹嘘的如此强悍（实际上自从国外公布了Bootkit源代码黑客软件开发的圈子里已经不下10款流氓软件使用了此种技术

并且MBR感染技术非常简单而且单一,重新修复MBR所谓的鬼影病毒也就不可能存在于计算机了, 某某公司所谓的专杀工具也不过就是修复一下MBR而已。

飓风工作室也将于近期推出MBR修复工具
注：就近日某某公司说什么飓风承认开发了“鬼影病毒”一事做一下说明，首先飓风软件并未开发鬼影病毒，某公司抓到的样本分析结果也显示并非本站

开发的软件，飓风之所以停止此类软件开发是不想替别人当什么替罪羊，飓风到目前为止也并没有出售一套相关的软件出去，一开始开发这个东西只是

想做技术研究，后面群里的某人找到我们开发一个成型版本出来出售，所以就开发出来了飓风下载者，但到鬼影病毒出现为止我们并没有出售一套软件

出去，只是提供了一个测试版本给某人并做了强加密处理！本人也不像某公司说的一样避风头，不想做了就是不做想了，犯不着为了替别人去坐牢！更

不想为了赚点钱把自己毁了。

本人也将于两天内提供MBR修复工具，并承诺不泄露关于此类技术的任何源码及样本（事实上三天前我就删除了所有相关的代码）请某某公司不要再拿

着这事来闹下去了，不过就是恢复一下MBR，再在其杀毒软件中加入一下拦截MBR写入的动作就行了，何必搞得如何之大，又何必拿着这事去吓普通用户

呢？老外都公布了MBR感染技术的源代码，（这里纠正某公司技术员的说法，MBR感染技术目前完全可以稳定工作在包括Vista与Win7的所有Windows系统下）

不过稍懂计算机的人都知道，MBR只要修复了启动代码没了，病毒也就再也启动不了！

这里再提醒一下中了鬼影病毒的用户，实际上如果中了病毒了就意味着可能还下载了别的病毒，如果要重装系统的话，直接用XP完整版安装盘，不要使用

GHOST快速装机盘，完整版安装盘在装系统时就已经重写了MBR！用了原版安装盘安装了系统，MBR病毒也就不存在了！任何一种MBR病毒只要在完整

系统安装盘中下安装系统都会被重建MBR也就意味着不存在还可以复活！

zxw · 发表于 2010-4-6 22:07:39

吓唬老百姓吧……..
先格式化再ghost安装也可以消除吧

[ 本帖最后由 zxw 于 2010-4-6 22:09 编辑 ]

padistar · 发表于 2010-4-6 22:10:17

一般来说...兼听则明，现在兼听...倒是让我们这些菜鸟更糊涂了...

dos时代菜鸟 · 发表于 2010-4-6 22:41:12

原帖由 zxw 于 2010-4-6 22:07 发表
吓唬老百姓吧……..
先格式化再ghost安装也可以消除吧

格式化是不会对硬盘分区表做任何变动的。

估计这种 mbr 层面的病毒，需要用 dos下比较高级的分区软件进行处理，估计还需要hex级别的修改，还有内存驻留方面的监控和中断。

zxw · 发表于 2010-4-6 22:48:40

汗，再一思考，确实犯低级错误了。谢谢指教。

不才 · 发表于 2010-4-6 23:05:11

原帖由 zxw 于 2010-4-6 22:07 发表
吓唬老百姓吧……..
先格式化再ghost安装也可以消除吧

嘿嘿，通常所说的格式化是解决不了mbr问题滴。所幸的是绝大多数格式化工具都可以重置mbr（解决魔影）。
不过某某公司的确是在吓唬老百姓！

netwinxp · 发表于 2010-4-7 09:12:47

搞那么复杂干吗，PE(不管是光盘、U盘甚至是装到硬盘)启动，MBR的病毒都没能注入到这里面，所以只要用PE启动并重写一下MBR不就解决了？

sgw888 · 发表于 2010-4-7 09:20:16

如果想重装系统的话,也没必要格式化,只要从其它设备启动系统,注意不要从硬盘启动,重写主引导,然后,GHOST重装系统,如果不放心,可以在PE下用WINHEX把引导扇区的代码清零,装完系统,全盘杀一下病毒,注意在杀毒之前不要打开其它盘,这样的步骤做下来,估计病毒不可能再重生了吧.

如果不打算要数据,直接XP或者VISTA慢盘重新分区,安装系统,保证什么病毒也没了.

yjd · 发表于 2010-4-7 09:24:37

原帖由 netwinxp 于 2010-4-7 09:12 发表
搞那么复杂干吗，PE(不管是光盘、U盘甚至是装到硬盘)启动，MBR的病毒都没能注入到这里面，所以只要用PE启动并重写一下MBR不就解决了？

这都是杀毒厂商借机宣传吓唬小白的。

对无忧人那是小菜了。

dos时代菜鸟 · 发表于 2010-4-7 09:56:16

对付 mbr 中的不正常信息，用diskgen 3.0 中的清理mbr 信息，可以解决，就是把mbr中除第一扇区以外的那62个扇区重新清零，然后再重置分区表。

但是，如果这个病毒的文件体在xp系统做了手脚，比如：下载木马，伪造服务，远程监控等等。还是需要杀毒软件进行处理的。

如果病毒利用像三名之类的转移指向和内存驻留，处理他可能具有一定的难度了。我不太懂汇编不好说。坛子上好像有帖子说某些类似影子系统的软件就是用这个方法的，就算分区格式化，仍然有余孽以非文件方式存在于硬盘扇区并发挥作用。

135956 · 发表于 2010-4-7 10:56:14

重写mbr，重装系统，再杀毒，就得了。没什么大不了的。

pear4093 · 发表于 2010-4-7 12:10:14

我装完系统引导区就关上门了 BIOS写保护

renchmin · 发表于 2010-4-7 13:54:03

我试过了使用MHDD最好了，用的是ERASE擦除最开始的几个扇区就行了。

zqjiang · 发表于 2010-4-7 14:46:52

问题是现在有没有办法解决?

whs3 · 发表于 2010-4-7 16:56:50

清除mrb引导记录应该说可以吗

dos时代菜鸟 · 发表于 2010-4-7 17:34:21

原帖由 whs3 于 2010-4-7 16:56 发表
清除mrb引导记录应该说可以吗

不一定，因为我没见识过这个病毒。
不过从技术成面上说，如果病毒在 mbr 区域通过一个调用把指令转向到其他隐蔽的扇区并以此驻留内存，那么你实际清掉的也只是那个被转移的假 mbr扇区。具体说不太清楚。

具体类似http://bbs.wuyou.net/forum.php?mod=viewthread&tid=132935&highlight=%C8%FD%DC%F8
三茗　

[ 本帖最后由 dos时代菜鸟于 2010-4-7 17:44 编辑 ]

dvd008 · 发表于 2010-4-7 18:25:26

ｐｅ下操作即可

ｄｏｓ不行

tutula · 发表于 2010-4-8 09:37:19

好可怕啊！吓死我了！

秋梦无痕 · 发表于 2010-4-8 11:09:45

原帖由 padistar 于 2010-4-6 22:10 发表
一般来说...兼听则明，现在兼听...倒是让我们这些菜鸟更糊涂了...

的确是很糊涂了，看来为了以防万一以后碰到这个鬼影，用pe ghost安装系统之前都要先重建一下这个mbr了

q67512 · 发表于 2010-4-8 12:42:38

早知道了，不过使用win7。。。

wangmeng052 · 发表于 2010-4-8 18:18:18

原帖由 yjd 于 2010-4-6 21:39 发表
转个贴：

======================================
飓风软件工作室目前已全面停止了飓风穿还原下载者的二次开发,删除了飓风下载者全部源代码,飓风软件工作室自今日起将不进行任何黑客类软件开发！

请某某 ...

绝对正确！不要在吓唬菜鸟了，从理论上说没有什么大不了。只要重写MBR就可以消除鬼影病毒。

barton · 发表于 2010-4-8 18:31:29

有利益就有谎言，捧病毒的的基本可以认定为是受益者。

gdhcj · 发表于 2010-4-8 19:02:16

在dos下用DM的MBR覆盖程序不行吗?

gdhcj · 发表于 2010-4-8 19:04:10

在Dos下用DM的覆盖程序不行吗?

zhongtian1552 · 发表于 2010-4-30 17:06:34

原帖由 netwinxp 于 2010-4-7 09:12 发表
搞那么复杂干吗，PE(不管是光盘、U盘甚至是装到硬盘)启动，MBR的病毒都没能注入到这里面，所以只要用PE启动并重写一下MBR不就解决了？

说得轻松！！！这种病毒对网吧等破坏是主要的！穿透几乎所有还原！我不能挨个去搞吧！网刻肯定不行了！头疼只能未雨绸缪了备份一下分区表先！好几种配置啊！

go2 · 发表于 2010-5-1 20:49:02

搞得很神密的样子，还好这里高手众多，不然真被迷惑了

icevan · 发表于 2010-5-11 09:51:44

原帖由 zhongtian1552 于 2010-4-30 17:06 发表

说得轻松！！！这种病毒对网吧等破坏是主要的！穿透几乎所有还原！我不能挨个去搞吧！网刻肯定不行了！头疼只能未雨绸缪了备份一下分区表先！好几种配置啊！

网吧可以网启的撒。只要绕过硬盘MBR剩下的就好做了。

		自动登录	找回密码
密码			注册

winxp下的MBR病毒！（转）

回复 #7 dos时代菜鸟 的帖子

回复 #7 dos时代菜鸟的帖子