最近在维护网吧客户端的时候,发现客户端总是被病毒渗透,但是检查电脑的时候没有发现病毒。在网上查了一下,原来是“幽灵”病毒,真的危害太大了。
病毒一旦进入计算机,就像一个恶魔,隐藏在系统之外,没有文件,没有系统启动项,没有进程模块。比系统运行的早,并且结束所有杀毒软件,下载av终结者,偷木马,修改ie主页。
最重要的是重装系统也清理不了病毒。
症状:
1、该病毒伪装成共享软件,欺骗用户下载安装。
病毒文件包含三个部分:
a、原始的普通共享软件。b、“幽灵”病毒,修改系统引导区(mbr),结束软件查杀,下载AV终结者病毒。c、绑定IE主页篡改,修改用户的浏览器主页,在桌面添加多余的快捷方式。
2.“ghost”病毒运行后,会向用户电脑释放两个驱动程序并加载。
3.驱动会修改系统的引导区(mbr),将B驱动写入磁盘,保证病毒优先于系统启动,病毒文件保存在系统之外。这样,病毒进入系统后,就被加载到内存中。
但是我们在进程中找不到任何启动项、病毒文件和进程模块。
4、删除病毒矩阵。
5.重启系统后,存在于引导区的恶意代码会监控windows系统的整个启动过程。当发现系统加载ntldr文件时,就插入恶意代码,使其加载写在引导区第五扇区的B盘。
6.B驱动加载后,会监控系统中的所有进程模块,如果有安全软件的进程,会直接结束。
7.驱动程序B将把av终结者下载到计算机上并运行它。
8.av终结者会修改系统文件,在安全软件进程中加入大量镜像劫持,下载大量盗号木马。进一步盗取用户的虚拟财产。
现在的解决方案是:
1.将恢复服务器系统升级到最新版本。
2.格式化客户端c盘后,重装系统前,使用fdisk/mbr命令清除主引导区的病毒引导代码,然后用最新的系统补丁完全重做系统。
切记:如果只重做系统,不清除MBR,系统做完不久就会中毒。
