可怕的鬼影病毒,真能阴魂不散?
可怕的鬼影病毒,真能阴魂不散?
2010年3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。
由此不难看出,具备了无文件、无系统启动项、无进程模块的“三无”病毒鬼影,完全可以称得上是一个具有“划时代”特征的电脑病毒。
来源:http://news.yesky.com/498/11176498.shtml
鬼影来了,想独善其身的用户还能逍遥多久?
对许多充满了网络探险精神的网友来说,如果不幸在探险过程中沾染了病毒或木马,终极解决方案就是把硬盘格掉,从而一了百了。但不幸的是,“鬼影”来了,尽管治服它的主法很快就会被杀毒厂商研发出来,但一个靠格式化硬盘就能解决所有安全问题的时代终结了。那些不希望借助安全厂商的帮助就可以独善其身的网友,从此也要不可避免地被卷入一场接一场的网络上的血雨腥风中来了。
鬼影的真相
作为一种病毒,鬼影最大的特点就是阴魂不散。
一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行,但鬼影病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。因为病毒比安全软件的启动还要早,对于已经寄生于MBR中的病毒,安全软件无法进行拦截。
而用户即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。并且当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常。但这可并不意味着鬼影病毒在你的电脑里什么也不干,在干掉所有杀毒软件之后,它还会下载av终结者,盗号木马,对IE主页进行修改。
由此不难看出,具备了无文件、无系统启动项、无进程模块的“三无”病毒鬼影,完全可以称得上是一个具有“划时代”特征的电脑病毒。
鬼影病毒目前随某些共享软件捆绑安装,每天平均感染电脑约2-3万台。目前鬼影病毒只针对Winxp系统,尚不能破坏Vista和Windows 7系统。
想独善其身者还能逍遥多久?
尽管鬼影病毒称得上是一个划时代的病毒,但细数一下,就在2009年年底,我们就曾经迎来了一种具有“划时代”特征的木马——带数字签名的木马。
为该木马进行数字签名的“深圳市沃通电子商务服务有限公司”官网显示,该公司可以为任何软件开发者颁发代码签名证书,标准版价格为每年1288元。这意味着一旦不法分子钻了这个空子,只要花千余元就可以做出能突破绝大多数杀毒软件的木马。
数字签名相当于软件的“身份证”,正规软件开发者通常会对软件代码进行数字签名,从而证明软件没有被非法篡改且来源可信,因此杀毒软件往往不会查杀具有真实数字签名的文件。但是如果一些具有颁发数字签名证书资格的机构不严加管理,使木马作者也能花钱“办证”,就相当于为木马提供了“通行证”,后果将非常严重。
从“划时代”特征的木马到“划时代”特征的病毒,中间间隔只有三个月。在黑客组织一系列狗急跳墙似的行为背后,是用户的电脑越来越不安全。
在一系列具备“划时代”特征的攻击打破了想要独善其身者的梦想之后,用户需要思考的是他们能够依靠谁?
用户可以依靠各类安全机构吗?当黑客产业链被曝光之后,用户才开始领教黑客组织的强大,同时也映射出安全机构力量的渺小。以鬼影病毒为例,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。由此可见单个安全厂商力量的单薄。
RSA全球总裁亚瑟•科维洛在以前的采访中曾谈到,安全机构有义务联合起来,但现在看来这还只能是一个梦想。然而另一方面,尽管多数用户对网络战并没有一个实际的概念,但诸多针对他们的新式木马、病毒已滚滚而来,一场网络战争已经开始了。