鬼影3

金山安全实验室

　　另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。

　　无需寄主结束所有杀毒软件。

　  该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒。

　　颠覆传统重装系统无法清除。

　　一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR），即使用户重装了系统，仍无法将其完全清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统。

　　安全软件失效电脑明显变慢

　　“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。

         鬼影3”病毒症状（只感染Windows XP系统）

　 　1、杀毒软件反复对beep.sys和c盘根目录下alg.exe报毒却无法清除；

“鬼影”病毒 　　2、浏览器首页被篡改为bubu888网址导航（也可能为其它网址导航）；

 　　3、电脑桌面出现“免费电影”、“美女图片”等广告图标，不定期弹出广告网页。

 　　“鬼影”病毒家族主要包括三代“鬼影”病毒，共同特征是感染电脑硬盘的主引导记录（MBR）。当受害电脑开机时，“鬼影”病毒家族会比Windows系统更早加载到内存中运行，从而使病毒获得系统控制权。无论重装系统或是格式化硬盘都无法清除病毒，鬼影3与鬼影1、鬼影2的区别在于它释放了一个恶意驱动作为“保镖”，用来禁止任何修复MBR的操作。对杀毒软件来说，不清除“保镖”驱动就无法修复MBR，不修复MBR又无法清除“保镖”驱动，从而陷入“鬼影3”怎么都杀不干净的死循环中。

 　   4、 同时在后台下载安装多个互联网软件以赚取推广费。

　　5、 个别变种也会下载其它木马下载器和AV终结者病毒，中毒电脑可能出现游戏帐号被盗等安全风险。

　　鬼影病毒伪装为某共享软件，欺骗用户下载安装。病毒运行后，会释放2个驱动到用户电脑中，并加载。驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

 　　重启系统后，存在于引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。b驱动会下载av终结者到电脑中，并运行。av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。^[1]

         1.通过某个视频专用播放器捆绑传播

 　　2.通过网络游戏外挂捆绑病毒传播

 　　3.通过“不良网站”提供的视频捆绑病毒

360安全中心        格式化硬盘都删不掉的“鬼影”系列病毒又出现了。近日360安全中心捕获最新的“鬼影3”病毒后发现，该病毒采用非常顽固的方式强驻受害电脑，常规杀毒技术无法清理，甚至病毒作者似乎也认为“鬼影3”根本不可能被杀掉，并没有像前两代“鬼影”一样破坏杀毒软件。为此，360已紧急开发出专杀工具 ，提醒受害网民尽快安装使用。

 　　360安全专家石晓虹博士介绍说，“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录（MBR），无论重装系统或是格式化硬盘都无法清除病毒。在查杀前两代“鬼影”时，不同厂商推出的专杀工具都会首先修复MBR，然后再全面扫描清除病毒残骸，然而这个方法在查杀“鬼影3”时却遇到了难题。

 　　据分析，“鬼影3”病毒之所以非常顽固，原因在于它释放了一个恶意驱动作为“保镖”，用来禁止任何修复MBR的操作。对杀毒软件来说，不清除“保镖”驱动就无法修复MBR，不修复MBR又无法清除“保镖”驱动，从而陷入“鬼影3”怎么都杀不干净的死循环中。

 　　不过，“鬼影3”病毒并非完全无药可解。360安全中心经过研究，已经找到了突破该病毒“保镖”驱动的办法，能够顺利修复MBR并彻底清除病毒。另外，如果网友电脑开启了360安全卫士，也可以在“鬼影3”感染电脑前就将其拦截，避免电脑遭受不必要的损失。

 　　“鬼影3”病毒典型症状包括：篡改浏览器首页为bubu888网址导航、桌面出现“免费电影”、“美女图片”等广告图标、不定期弹出网页广告、杀毒软件反复扫出beep.sys和alg.exe文件却无法清除。如果符合上述情况，网友应立即访问360官网下载使用专杀工具。

          1.建议网友的电脑开启了杀毒软件的监控防御，会在“鬼影3”运行之前就将其拦截，避免电脑遭受不必要的财产损失。

          2.“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录（MBR），无论重装系统或是格式化硬盘都无法清除病毒。在查杀前两代“鬼影”时，不同厂商推出的专杀工具都会首先修复MBR，然后再全面扫描清除病毒残骸，然而这个方法在查杀“鬼影3”时却遇到了难题，网友应立即下载使用最新版鬼影3专杀工具。

        “鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染电脑硬盘的主引导记录（MBR）。当受害电脑开机时，“鬼影”病毒家族会比Windows系统更早加载到内存中运行，从而使病毒获得系统控制权。