站長資訊網令眾多網民色變的“鬼影病毒”,最近又爆出新的變種“鬼影6”。該變種主要盜取用戶的網游賬號,具有極強的免殺能力、甚至還能主動攻擊殺毒軟件。鬼影6成功運行后,會導致殺毒軟件無法正常啟動,或者查殺過程中崩潰,最可恨的是,連重裝系統都無法修復。目前,僅金山毒霸可成功攔截并清除該病毒。
7月19號,金山毒霸云安全中心鷹眼系統第一時間監控到鬼影6爆發的跡象,金山毒霸安全工程師對病毒樣本進行深入分析,發現鬼影6的技術深度遠超已知的國內外病毒,可稱之為“2012年技術含量最高的病毒”。
針對病毒的技術特點,毒霸工程師在當天第一時間升級了防御方案,金山毒霸云安全中心在短短數秒內就使所有毒霸用戶具有了攔截、查殺該病毒的能力。同時,金山毒霸工程師也在毒霸社區發布了預警,針對尚未安裝毒霸的更多用戶,于 23日公布專殺方案供下載,為網民排憂解難。
截止到7月23日,預計鬼影6已感染超過1萬臺電腦。被鬼影6感染的電腦,不僅殺毒軟件失常,電腦運行速度緩慢、經常藍屏,還會自動下載夢幻西游、CF等熱門網絡游戲的盜號木馬群,導致用戶的財產受損。
金山安全實驗室監測發現,鬼影6病毒主要通過用戶下載CF新月外掛或經典傳奇私服等網游外掛、私服客戶端,入駐電腦。該病毒成功運行后,在進程中、系統啟動加載項里找不到任何異常,同時即使格式化重裝系統,也無法將徹底清除該病毒。猶如”鬼影”一般”陰魂不散”,所以稱為”鬼影”病毒。該病毒也因此成為國內首個”引導區”下載者病毒。
圖1:鬼影6下載器文件拓撲圖(圖片來源于金山毒霸)
由于鬼影6病毒具有非常強的免殺性,能繞過絕大多數主流殺毒軟件的防御和查殺,恐將對國內用戶造成比較大的損失。目前,金山毒霸是第一家掌握了該病毒原理、破壞規律的安全軟件,金山毒霸獨有的邊界防御已經完美支持對此類樣本的攔截防御。所以金山毒霸用戶并不需要驚慌。
同時,金山毒霸安全實驗室提醒廣大網游玩家,養成良好的上網、下載習慣,千萬不要在可疑、陌生站點進行下載,同時也不要下載任何未經驗證的游戲第三方外掛、客戶端等程序。
鬼影6病毒惡性行為分析:
1. 隱藏端口驅動的相關驅動文件,在上述第二點中提到的StartIO被替換成病毒例程后,如果想將其修復,其中的一個方法就是需要用到相關驅動的原始文件,而病毒將其隱藏,意圖使相關修復失敗,在此點上可以較明顯的體現出病毒作者對rootkit對抗過程的了解。
2. 不斷回寫StartIO 例程,即使有相關軟件采用特殊方法將StartIO例程修復,病毒也會再次修改回去。
3. 隱藏病毒內存模塊及文件模塊,內存模塊被隱藏到了內核模塊的末尾處,而文件模塊以扇區的形式隱藏于磁盤末尾,而這些扇區也在上述病毒StartIO例程的保護范圍內。(無文件)
4. 阻止主流殺軟、ark工具、專殺的運行,具有較強的AV特征。
5. 由于該病毒是組合拳,鬼影6除了以上惡性行為外,還會下載大量盜號木馬,盜取用戶游戲錢財。
用戶安全解決方案:
1、已安裝金山毒霸用戶
毒霸獨有的邊界防御已經完美支持對此類樣本的攔截防御。所以用戶不需要驚慌,但曾經使用過cf外掛、傳奇私服且關閉過毒霸的用戶,若出現電腦卡、運行緩慢、藍屏等疑似鬼影6中毒現象的話,請使用金山頑固木馬專殺。
金山毒霸2012(獵豹)SP5下載地址:
http://cd001.www.duba.net/duba/install/2011/ever/kavsetup0720_99_1.exe
2、未安裝金山毒霸的用戶
請使用金山頑固病毒木馬專殺進行查殺修復。修復查殺完畢后,再使用金山毒霸查殺殘留木馬病毒。
金山頑固病毒木馬專殺下載地址:
http://cu003.www.duba.net/duba/tools/dubatools/usb/sysfixkill.exe
圖2:金山頑固病毒木馬專殺截圖(圖片來源于金山毒霸)
鬼影病毒進化史:
鬼影1:感染mbr,無加密。
鬼影2:加密感染mbr,并通過diskhook保護mbr。
鬼影3:感染beep.sys,掛鉤StartIO保護mbr。
鬼影4:感染特定主板bios,從而保護感染的mbr不被修復。
鬼影5:感染atapi+ntfs驅動,反復回寫保護mbr。
鬼影6:通過atapi+ntfs+startio+回寫+av技術保護mbr不被修復,最大的亮點是無病毒文件對抗查殺。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
