令眾多網(wǎng)民色變的“鬼影病毒”，最近又爆出新的變種“鬼影6”。該變種主要盜取用戶的網(wǎng)游賬號(hào)，具有極強(qiáng)的免殺能力、甚至還能主動(dòng)攻擊殺毒軟件。鬼影6成功運(yùn)行后，會(huì)導(dǎo)致殺毒軟件無法正常啟動(dòng)，或者查殺過程中崩潰，最可恨的是，連重裝系統(tǒng)都無法修復(fù)。目前，僅金山毒霸可成功攔截并清除該病毒。

　　7月19號(hào)，金山毒霸云安全中心鷹眼系統(tǒng)第一時(shí)間監(jiān)控到鬼影6爆發(fā)的跡象，金山毒霸安全工程師對(duì)病毒樣本進(jìn)行深入分析，發(fā)現(xiàn)鬼影6的技術(shù)深度遠(yuǎn)超已知的國內(nèi)外病毒，可稱之為“2012年技術(shù)含量最高的病毒”。

　　針對(duì)病毒的技術(shù)特點(diǎn)，毒霸工程師在當(dāng)天第一時(shí)間升級(jí)了防御方案，金山毒霸云安全中心在短短數(shù)秒內(nèi)就使所有毒霸用戶具有了攔截、查殺該病毒的能力。同時(shí)，金山毒霸工程師也在毒霸社區(qū)發(fā)布了預(yù)警，針對(duì)尚未安裝毒霸的更多用戶，于 23日公布專殺方案供下載，為網(wǎng)民排憂解難。

　　截止到7月23日，預(yù)計(jì)鬼影6已感染超過1萬臺(tái)電腦。被鬼影6感染的電腦，不僅殺毒軟件失常，電腦運(yùn)行速度緩慢、經(jīng)常藍(lán)屏，還會(huì)自動(dòng)下載夢幻西游、CF等熱門網(wǎng)絡(luò)游戲的盜號(hào)木馬群，導(dǎo)致用戶的財(cái)產(chǎn)受損。

　　金山安全實(shí)驗(yàn)室監(jiān)測發(fā)現(xiàn)，鬼影6病毒主要通過用戶下載CF新月外掛或經(jīng)典傳奇私服等網(wǎng)游外掛、私服客戶端，入駐電腦。該病毒成功運(yùn)行后，在進(jìn)程中、系統(tǒng)啟動(dòng)加載項(xiàng)里找不到任何異常，同時(shí)即使格式化重裝系統(tǒng)，也無法將徹底清除該病毒。猶如”鬼影”一般”陰魂不散”，所以稱為”鬼影”病毒。該病毒也因此成為國內(nèi)首個(gè)”引導(dǎo)區(qū)”下載者病毒?！　?/p>

圖1：鬼影6下載器文件拓?fù)鋱D(圖片來源于金山毒霸)

　　由于鬼影6病毒具有非常強(qiáng)的免殺性，能繞過絕大多數(shù)主流殺毒軟件的防御和查殺，恐將對(duì)國內(nèi)用戶造成比較大的損失。目前，金山毒霸是第一家掌握了該病毒原理、破壞規(guī)律的安全軟件，金山毒霸獨(dú)有的邊界防御已經(jīng)完美支持對(duì)此類樣本的攔截防御。所以金山毒霸用戶并不需要驚慌。

　　同時(shí)，金山毒霸安全實(shí)驗(yàn)室提醒廣大網(wǎng)游玩家，養(yǎng)成良好的上網(wǎng)、下載習(xí)慣，千萬不要在可疑、陌生站點(diǎn)進(jìn)行下載，同時(shí)也不要下載任何未經(jīng)驗(yàn)證的游戲第三方外掛、客戶端等程序。

　　鬼影6病毒惡性行為分析：

　　1. 隱藏端口驅(qū)動(dòng)的相關(guān)驅(qū)動(dòng)文件，在上述第二點(diǎn)中提到的StartIO被替換成病毒例程后，如果想將其修復(fù)，其中的一個(gè)方法就是需要用到相關(guān)驅(qū)動(dòng)的原始文件，而病毒將其隱藏，意圖使相關(guān)修復(fù)失敗，在此點(diǎn)上可以較明顯的體現(xiàn)出病毒作者對(duì)rootkit對(duì)抗過程的了解。

　　2. 不斷回寫StartIO 例程，即使有相關(guān)軟件采用特殊方法將StartIO例程修復(fù)，病毒也會(huì)再次修改回去。

　　3. 隱藏病毒內(nèi)存模塊及文件模塊，內(nèi)存模塊被隱藏到了內(nèi)核模塊的末尾處，而文件模塊以扇區(qū)的形式隱藏于磁盤末尾，而這些扇區(qū)也在上述病毒StartIO例程的保護(hù)范圍內(nèi)。(無文件)

　　4. 阻止主流殺軟、ark工具、專殺的運(yùn)行，具有較強(qiáng)的AV特征。

　　5. 由于該病毒是組合拳，鬼影6除了以上惡性行為外，還會(huì)下載大量盜號(hào)木馬，盜取用戶游戲錢財(cái)。

　　用戶安全解決方案：

　　1、已安裝金山毒霸用戶

　　毒霸獨(dú)有的邊界防御已經(jīng)完美支持對(duì)此類樣本的攔截防御。所以用戶不需要驚慌，但曾經(jīng)使用過cf外掛、傳奇私服且關(guān)閉過毒霸的用戶，若出現(xiàn)電腦卡、運(yùn)行緩慢、藍(lán)屏等疑似鬼影6中毒現(xiàn)象的話，請使用金山頑固木馬專殺。

　　金山毒霸2012(獵豹)SP5下載地址：

　　http://cd001.www.duba.net/duba/install/2011/ever/kavsetup0720_99_1.exe

　　2、未安裝金山毒霸的用戶

　　請使用金山頑固病毒木馬專殺進(jìn)行查殺修復(fù)。修復(fù)查殺完畢后，再使用金山毒霸查殺殘留木馬病毒。

　　金山頑固病毒木馬專殺下載地址：

　　http://cu003.www.duba.net/duba/tools/dubatools/usb/sysfixkill.exe　　

圖2：金山頑固病毒木馬專殺截圖(圖片來源于金山毒霸)

　　鬼影病毒進(jìn)化史：

　　鬼影1：感染mbr，無加密。

　　鬼影2：加密感染mbr，并通過diskhook保護(hù)mbr。

　　鬼影3：感染beep.sys，掛鉤StartIO保護(hù)mbr。

　　鬼影4：感染特定主板bios，從而保護(hù)感染的mbr不被修復(fù)。

　　鬼影5：感染atapi+ntfs驅(qū)動(dòng)，反復(fù)回寫保護(hù)mbr。

　　鬼影6：通過atapi+ntfs+startio+回寫+av技術(shù)保護(hù)mbr不被修復(fù)，最大的亮點(diǎn)是無病毒文件對(duì)抗查殺。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。