鬼影電腦病毒中毒症狀及工作原理介紹

　　2010年3月15日，金山安全實驗室捕獲一種被命名為“鬼影”的電腦病毒，由於該病毒成功執行後，在程序中、系統啟動載入項裡找不到任何異常，即使格式化重灌系統，也無法徹底清除該病毒。下面由小編給你做出詳細的!希望對你有幫助!

　　：

　　鬼影電腦病毒中毒症狀：

　　1、電腦非常卡，操作程式有明顯的停滯感，常見防毒軟體無法正常開啟，同時發現反覆重灌系統後問題依舊無法解決。

　　2、系統檔案被感染防毒查殺以後提示找不到相應的dll或者系統功能不正常。rpcss.dll，ddraw.dll是盜號木馬常修改的系統dll。

　　3、QQ號碼被盜，可被黑客用來傳播廣告等。魔獸、DNF、天龍八部、夢幻西遊等遊戲賬號被盜。

　　4、程序中存在iexplor.exe程序並指向一個不正常的網站。

　　5、鬼影共同特徵就是程序裡有ali.exe

　　6、你的電腦桌面上出現了一個討厭的“播放器”快捷方式，而且刪不掉。

　　7、鬼影病毒還有一個特徵就是任何軟體***有些例外如360急救箱***，會在7——12秒內自動關閉，一些鬼影病毒可以遮蔽一些“純鬼影專殺”，當啟動專殺時，會發現專殺驅動無法成功啟動。只有一些強制性的防毒軟體***如金山系統急救箱***，才可以清除。

　　8、還有一個共同點就是中了該病毒之後，電腦如果只裝有一塊硬碟可以啟動系統，如果電腦裝有兩塊硬碟以上，或者插了U盤。進入系統時就會出現藍屏。***藍屏原因是分割槽錯誤***

　　鬼影電腦病毒工作原理：

　　1.“鬼影”病毒母體執行後，會釋放兩個驅動到使用者電腦中，並載入。和母體病毒捆綁在一起其它流氓軟體會修改桌面快捷方式，嘗試修改IE屬性。

　　***分析：病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標，便於病毒的真正母體隱藏得更好***

　　2.a驅動會修改系統的主引導記錄***mbr***，並將b驅動寫入磁碟，保證病毒是優先於系統啟動，且病毒檔案儲存在系統之外。這樣進入系統後，病毒載入入記憶體，但找不到任何啟動項、找不到病毒檔案、在程序中找不到任何程序模組。

　　3.病毒母體自刪除。

　　4.重啟系統後，主引導記錄***MBR***中的惡意程式碼會對windows系統的整個啟動過程進行監控，發現系統載入ntldr檔案時，插入惡意程式碼，使其載入b驅動。

　　5.b驅動載入起來後，會監視系統中的所有程序模組，若存在安全軟體的程序，直接結束。

　　6.b驅動會下載av終結者到電腦中，並執行。

　　7.下載的av終結者病毒會修改系統檔案，對安全軟體程序新增大量的映像劫持，下載大量的盜號木馬。進一步盜取使用者的虛擬財產。

　　8.該病毒只針對Winxp系統，尚不能破壞Vista和Win7系統。***目前最新的變種可以感染vista、win7和win8，但在win8/win8.1無法破壞MBR，無法注入病毒驅動程式，比較容易處理***