无忧启动论坛

标题: MBR病毒-淘宝网-的真实面目 [打印本页]

作者: missingyou 时间: 2010-8-13 22:26
标题: MBR病毒-淘宝网-的真实面目
桌面的淘宝网快捷方式可以强行删除，可以使用各种清除工具，但重启后会恢复。重装系统无效，分区无效，除非清除MBR
并且有很多种不同病毒，有的没有特殊进程，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒，最重要的是重装系统都不能清除该病毒。创建的快捷方式也有所不同，有的进程里有NAT.EXE，有的是有两个alg.exe进程.有的找不到病毒进程

很多人都中了这种病毒，这个月已经接到8个顾客中了这个病毒。不要再说我GHOST文件有问题了

　　“鬼影”病毒，修改系统引导区(mbr)，结束杀软，下载AV终结者病毒。
　　捆绑IE首页篡改器，修改用户浏览器首页，桌面添加多余的快捷方式。
　　“鬼影”病毒运行后，会释放2个驱动到用户电脑中，并加载。
　　驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

　　病毒母体自删除。
　　重启系统后，存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。
　　b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。
　　b驱动会下载av终结者到电脑中，并运行。
　　av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产

以前，常听用户说，中毒了没关系，大不了重装系统。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
颠覆传统重装系统无法清除
金山安全反病毒专家表示，“一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR）,在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒，安全软件无法进行拦截。因病毒比安全软件的启动还要早。
李铁军表示，“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统；全新的病毒技术，突破了普通杀毒软件的自保护，“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。
安全软件失效电脑明显变慢
金山安全实验室的研究人员分析发现，这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的，目前的日感染电脑约2-3万台。“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。
罕见技术型病毒源于国外
“鬼影”病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说，目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows 7系统。
另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。

、鬼影病毒概述
　　这是一个木马下载器，使用了ring3恢复内核钩子、感染磁盘引导区（MBR）、多种方法结束杀毒软件等技术自启动并对抗杀毒软件。完全感染后，是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。
　　二、鬼影病毒分析
　　1病毒的启动方法
　　感染MBR以获得凌驾于操作系统的启动权->HOOK文件操作中断，搜索NTLDR文件（主要目标xp，2003系统）进行hook->hook内核函数实现优先加载驱动并执行病毒驱动>后期其他操作（比如下载盗号木马，统计感染量等）
图1，鬼影病毒感染前后，MBR的变化。

2.生成部分文件
　　%ProgramFiles%\MSDN\atixx.sys(工作驱动)
　　%ProgramFiles%\MSDN\atixi.sys(负责将其他文件写入引导区)
　　%ProgramFiles%\MSDN\000000000(木马下载器)
　　%ProgramFiles%\MSDN\atixx.inf(驱动安装脚本
　　%ProgramFiles%\MSDN\atixi.inf(驱动安装脚本)
　　以上文件使用后会自删除。
　　3.Ring3还原各种钩子
　　读取原始KiServiceTable表，还原SSDT表，其他特定钩子的恢复。
　　4.结束卡巴斯基(R3)
　　通过结束卡巴斯基事件句柄BaseNamedObjects\f953EA60-8D5F-4529-8710-42F8ED3E8CDC使得卡巴进程异常退出。
　　5.结束其它杀软(R3)
　　获取杀毒软件进程的公司名，进行hash运算并跟内置杀软的HASH值进行比较，发现相同就结束进程。
　　6.桌面创建一个名为成人播放器的快捷方式并指向**网站，并修改IE首页为http://www.ttjlb.com/
　　7.抹掉线程起始地址防止被手工检测
　　8.找到explorer（资源管理器）进程，然后插入用户态的apc实现下载病毒木马的功能
　　9.枚举进程对象，比较进程对应文件的公司名。发现需对抗进程则获取线程对象然后结束线程，此时杀软进程异常退出
　　10.感染引导区，并将其它文件写入引导区
　　隐蔽加载难发现，反复感染的难清除
　　11.木马下载器功能
　　下载针对魔兽，DNF，梦幻西游等热门游戏盗号木马。
　 12.桌面创建一个名为成人播放器的快捷方式并指向**网站，并修改IE首页为http://www.ttjlb.com/
　　三、感染以后可能现象
　　1电脑非常卡，操作程序有明显的停滞感，常见杀毒软件无法正常打开，同时发现反复重装系统后问题依旧无法解决
　　2系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常
　　rpcss.dll，ddraw.dll（这个是盗号木马现在常修改的系统dll）

　3QQ号码被盗，可被黑客用来传播广告等
　　4魔兽，DNF，天龙八部，梦幻西游等游戏帐号被盗
　　5进程中存在iexplore.exe进程并指向一个不正常的网站

[ 本帖最后由 missingyou 于 2010-8-13 22:27 编辑 ]

作者: canmao 时间: 2010-8-13 22:29
盗梦空间2。。。。。。

作者: chinaren12 时间: 2010-8-13 22:32
昨天我就碰到一个，最后用金山的鬼影专杀才干掉的。

作者: canmao 时间: 2010-8-13 22:33
盗梦金山。。。。。。

作者: loopback 时间: 2010-8-13 22:34
我遇到过3例，进PE重写MBR，重装系统，OK

作者: tianxiashuma 时间: 2010-8-13 22:34
进pe 用硬盘分区软件全盘格式化。然后更新mbr

接着正常装系统. ok 搞定

作者: q67512 时间: 2010-8-13 22:35
貌似win7不会中这个毒？

作者: loopback 时间: 2010-8-13 22:37

原帖由 tianxiashuma 于 2010-8-13 22:34 发表
进pe 用硬盘分区软件全盘格式化。然后更新mbr

接着正常装系统. ok 搞定

不必重新分区

作者: chenjijv 时间: 2010-8-14 00:43
没什么拿来研究一下病毒的技术也可以利用为我们做事。。。。。。。

作者: weijun189 时间: 2010-8-14 01:20
这个病毒有点厉害，多谢分享

作者: ly372184487 时间: 2010-8-14 03:06
想知道这个病毒能不能在DOS下搞定它？

作者: renchmin 时间: 2010-8-14 08:17
我现在给人重装系统，重建MBR已是必须的步骤了啊。

作者: 2010flystar369 时间: 2010-8-14 17:59
多谢分享啊，有多知道一种厉害的病毒

作者: lvyanan 时间: 2010-8-14 22:01
能取得病毒的MBR样板就好了。

作者: yichya 时间: 2010-8-14 22:37
同意楼上...

搞来样本玩玩也很爽.

作者: missingyou 时间: 2010-8-15 02:29
我发第一个贴的时候，就贴了 MBR，不过很多人都说我 GHSOT文件有问题

作者: lb30103 时间: 2010-8-15 05:01
有点不明白它是如何传播的,我想把自己己启动的主区mbr改了都难做到.用diskgen都难,难道不是一般菜菜中的病毒?

作者: 8413024 时间: 2010-8-15 05:27
现在感觉自己伟大了,装个xp系统只用30秒钟,c:d:E:f:到处都是我的系统,它能奈我何?
----------------------------------------------------------------------------------------------------------------------------
现在中了exe病毒,把我的文件夹变成隐形,造出许多同名exe.虽未伤元气,但不知怎样消灭它??各位大大有好的办法没有?

[ 本帖最后由 8413024 于 2010-8-15 03:53 编辑 ]

作者: lovelyxzq 时间: 2010-8-15 07:56
我有一次给客户修电脑，他一开机用一会就肯定掉网了，重装N次不管用，当时想到ARP病毒，然后我从容的又重装了一遍，装上NOD32杀毒软件，结果，刚开机就报一个2008.exe病毒在运行，0分区什么的也有代码，无法清除。然后我直接近PE，吧C盘全部删了，重新建了C盘。重写MBR，重新设活动分区，然后再装系统。

什么都好了

作者: 8413024 时间: 2010-8-15 08:19
重写MBR现在是装机必备了,感觉现在病毒效率真高,感染速度与杀软查杀速度严重不平衡,杀软也不知干什么吃的,还不如手工操作.那多文件一下变得隐形,恢复起来每个都需时间,感觉windows的速度都比不上.

作者: waasn 时间: 2010-8-16 09:41
很庆幸我电脑还没中过这种病毒，制造病毒的那些混蛋真是混蛋！

作者: 七仙花 时间: 2010-8-16 22:16

原帖由 8413024 于 2010-8-15 05:27 发表
现在中了exe病毒,把我的文件夹变成隐形,造出许多同名exe.虽未伤元气,但不知怎样消灭它??各位大大有好的办法没有?

使用搜索功能，搜索这个同名的文件，然后ctrl +A 接着shift+Delete全部搞定。

我就是用这种方法删除U盘病毒感染后生成的那个_desktop.ini文件。

[ 本帖最后由七仙花于 2010-8-16 22:21 编辑 ]

作者: 2010fastbird 时间: 2010-8-17 02:35
标题: 回复 #1 missingyou 的帖子
楼主说的这个根据xp启动过程mbr+pbr+ntldr+boot.ini，前几天也中了一次淘宝病毒搞不定，重建mbr+pbr，然后用心的ntldr覆盖发现，问题还在，然后通过360的木马专杀工具发现病毒是修改了dll，然后将其干掉。

作者: 2010t 时间: 2010-8-18 09:21
还没碰到，谢谢提醒啊

作者: QianKun10 时间: 2010-8-18 13:42
提示: 作者被禁止或删除内容自动屏蔽

作者: 2010songalways 时间: 2010-8-18 19:58
这个用金山网盾完美解决。~

作者: ackboy 时间: 2010-9-2 19:42
这毒刚出来的时候我给人转系统转了4次快崩溃
第一次装完就跳桌面图标出来还有进程怀疑其他盘有毒没清干净
第二次装完又是这样怀疑没拔网线
第三次怀疑我的GHOST文件有问题了
第四次重建MBR再装才OK

作者: 2010qiankun 时间: 2010-9-2 20:38
开起来很牛但是重写MBR还有用鬼影专杀就能解决掉啊。

作者: yjd 时间: 2010-9-4 11:45
这种话题拿到无忧都是简单的事情，无忧专业就是玩启动的。

作者: 8413024 时间: 2010-9-5 00:24
哈哈说不定就是无忧弄出来的,也不知到底谁造的,两个嫌犯:一杀毒公司,二启动玩家.

作者: mayura 时间: 2010-9-13 18:02
感谢这么详细的说明，3Q..

作者: ok98 时间: 2010-9-18 13:22

原帖由 lovelyxzq 于 2010-8-15 07:56 发表
我有一次给客户修电脑，他一开机用一会就肯定掉网了，重装N次不管用，当时想到ARP病毒，然后我从容的又重装了一遍，装上NOD32杀毒软件，结果，刚开机就报一个2008.exe病毒在运行，0分区什么的也有代码，无法清除 ...

我上次也是这样， 2008.exe 记得非常清楚。

PE重建了MBR然后全盘杀毒，结合冰点7.0，没几天又中着了。

作者: zhongtian1552 时间: 2010-9-18 18:49
应该不是很麻烦啊？更新一下MBR

作者: 2010awen 时间: 2010-9-19 16:09
小事一桩的东西，容易搞定

作者: 2010prawn2000a 时间: 2010-9-20 02:12
我白目地請教一下，是不是用pauly大大的bootice重造一個mbr就解決了？
毒都不會再運行了？

原帖由 zhxy9804 于 2010-9-4 23:14 发表

是啊，完全不值得一提，中了就用mbr修复

作者: 2010revenge12 时间: 2010-9-20 12:38
我才遇到的，装了系统，杀了几百个毒还是不行。。。
最后重新分区才搞好

作者: 79339656 时间: 2010-10-3 22:44
标题: 最近常见的一种病毒，幸好第一次遇见就被我搞定了。
给宾馆装的几台机器，冰点7.0也照样被搞坏。系统是干净的，但是每次启动就要启动病毒，很郁闷。
前几天的一台电脑种的病毒似乎更绝：重写MBR都不管用，还有什么可能？

作者: shy999 时间: 2010-10-4 08:38
老病毒又复活了。

作者: mfkwgij 时间: 2010-10-4 09:02
确实很厉害哦！~支持了

作者: 于山 时间: 2010-10-4 10:20
我是采用的是：
c区格式化、恢复主引导区、恢复系统导区。
再恢复c区备份gho，即ok！

作者: 小松鼠 时间: 2010-10-4 17:02
重写MBR都有哪些软件?

作者: 枫恋蓝点 时间: 2010-10-4 20:11
遇到过一次，小问题而已。。

作者: 2010songpo 时间: 2010-10-5 14:43
这个病毒有点厉害，多谢分享

作者: 小松鼠 时间: 2010-10-5 15:36

原帖由 8413024 于 2010-8-15 05:27 发表
现在感觉自己伟大了,装个xp系统只用30秒钟,c:d:E:f:到处都是我的系统,它能奈我何?
--------------------------------------------------------------------------------------------------------------------- ...

30秒装系统,怎么装的?能说明一下?

作者: chujiafu 时间: 2010-10-8 09:25
这种病毒在Dos用Fdisk /mbr重写MBR不知行不行？

作者: 2010nie1982 时间: 2010-10-8 20:18
还好用的是WIN7.。。。没看到怎么冶？

作者: 情剑无伤 时间: 2010-10-12 10:16
这个有点厉害de病毒，多谢分享

作者: 251431753 时间: 2010-10-12 11:15
以前碰了好多

作者: 2010qiaosky110 时间: 2010-10-12 11:58
恩。我中过3次了！重写mbr好用吗？

作者: 2010xiaojie 时间: 2010-10-12 16:38
我也中过这个毒用安全卫士加杀软杀掉

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)