鬼影病毒行為介紹

　　2010年3月15日，國內某安全中心發現一種被命名為"鬼影"的電腦病毒，由於該病毒成功執行後，在程序中、系統啟動載入項裡找不到任何異常，同時即使格式化重灌系統，也無法徹底清除該病毒。下面由小編給你做出詳細的!希望對你有幫助!

　　：

　　猶如"鬼影"一般"陰魂不散"，所以稱為"鬼影病毒"。該病毒也因此成為國內首個"引導區下載者病毒"。　　感染鬼影病毒後的磁碟

　　感染鬼影病毒後的磁碟

　　鬼影病毒行為1、該病毒偽裝為某共享軟體，欺騙使用者下載安裝。病毒檔案中包含3部分檔案：A、原正常的共享軟體。B、“鬼影”病毒，修改系統引導區***MBR***，結束防毒軟體程序，下載AV終結者病毒。C、捆綁IE首頁篡改器，修改使用者瀏覽器首頁，桌面新增多餘的快捷方式。

　　鬼影病毒行為2、“鬼影”病毒執行後，會釋放2個驅動到使用者電腦中，並載入。

　　鬼影病毒行為3、驅動會修改系統的引導區***MBR***，並將b驅動寫入磁碟，保證病毒是優先於系統啟動，且病毒檔案儲存在系統之外。這樣進入系統後，病毒載入入記憶體，但找不到任何啟動項、找不到病毒檔案、在程序中找不到任何程序模組。

　　鬼影病毒行為4、病毒母體自刪除。

　　鬼影病毒行為5、重啟系統後，存在在引導區中的惡意程式碼會對windows系統的整個啟動過程進行監控，發現系統載入ntldr檔案時，插入惡意程式碼，使其載入寫入引導區第五個扇區的B驅動。

　　鬼影病毒行為6、B驅動載入起來後，會監視系統中的所有程序模組，若存在安全軟體的程序，直接結束。

　　鬼影病毒行為7、B驅動會下載AV終結者到電腦中，並執行。

　　鬼影病毒行為8、AV終結者會修改系統檔案，對安全軟體程序新增大量的映像劫持，下載大量的盜號木馬病毒。進一步盜取使用者的虛擬財產。