Question

鬼影病毒的工作原理

Answer 1

1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。
（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）
2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
3.病毒母体自删除。
4.重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。
5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。
6.b驱动会下载av终结者到电脑中，并运行。
7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。
8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。（目前最新的变种可以感染vista、win7和win8，但在win8/win8.1无法破坏MBR，无法注入病毒驱动程序，比较容易处理）