最近在维护网吧客户端的时候,发现客户端总是被病毒穿透,查电脑没发现病毒。上网查,原来是中了“鬼影”病毒,这个病毒真的是太利害了。
该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木 马,ie主页修改等大量多品种病毒,最重要的是重装系统都不能清除该病毒
症状:
1、该病毒伪装为某共享软件,欺骗用户下载安装。
病毒文件中包含3部分文件:
A、原正常的共享软件。
B、“鬼影”病毒,修改系统引导区(mbr),结束杀软,下载AV终结者病毒。
C、捆绑IE首页篡改器,修改用户浏览器首页,桌面添加多余的快捷方式。
2,“鬼影”病毒运行后,会释放2个驱动到用户电脑中,并加载。
3,驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但 找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
4,病毒母体自删除。
5,重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引 导区第五个扇区的b驱动。
6,b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
7,b驱动会下载av终结者到电脑中,并运行。
8,av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。
现在的解决办法是:
1、把还原服务器系统升级到最新,
2、把客户端格式化C盘后,在重装系统之前,先用 fdisk/mbr 命令清除掉主引导区的病毒引导代码,再把系统全部重做,系统补丁打到最新。
记住:如果只重做系统,没有清除MBR,系统做好后也会很快中毒的。
