鬼影6病毒專盜網游玩家 毒霸首家攔截

    泡泡網軟件頻道7月25日 令眾多網民色變的“鬼影病毒”，最近又爆出新的變種“鬼影6”。該變種主要盜取用戶的網游賬號，具有極強的免殺能力、甚至還能主動攻擊殺毒軟件。鬼影6成功運行后，會導致殺毒軟件無法正常啟動，或者查殺過程中崩潰，最可恨的是，連重裝系統都無法修復。目前，僅金山毒霸可成功攔截并清除該病毒。

    據悉，7月19日金山毒霸云安全中心鷹眼系統第一時間監控到鬼影6爆發的跡象，金山毒霸安全工程師對病毒樣本進行深入分析，發現鬼影6的技術深度遠超已知的國內外病毒，可稱之為“2012年技術含量最高的病毒”。

    針對病毒的技術特點，毒霸工程師在當天第一時間升級了防御方案，金山毒霸云安全中心在短短數秒內就使所有毒霸用戶具有了攔截、查殺該病毒的能力。同時，金山毒霸工程師也在毒霸社區發布了預警，針對尚未安裝毒霸的更多用戶，于23日公布專殺方案供下載，為網民排憂解難。

    截止到7月23日，預計鬼影6已感染超過1萬臺電腦。被鬼影6感染的電腦，不僅殺毒軟件失常，電腦運行速度緩慢、經常藍屏，還會自動下載夢幻西游、CF等熱門網絡游戲的盜號木馬群，導致用戶的財產受損。

    金山安全實驗室監測發現，鬼影6病毒主要通過用戶下載CF新月外掛或經典傳奇私服等網游外掛、私服客戶端，入駐電腦。該病毒成功運行后，在進程中、系統啟動加載項里找不到任何異常，同時即使格式化重裝系統，也無法將徹底清除該病毒。猶如"鬼影"一般"陰魂不散"，所以稱為"鬼影"病毒。該病毒也因此成為國內首個"引導區"下載者病毒。

    由于鬼影6病毒具有非常強的免殺性，能繞過絕大多數主流殺毒軟件的防御和查殺，恐將對國內用戶造成比較大的損失。目前，金山毒霸是第一家掌握了該病毒原理、破壞規律的安全軟件，金山毒霸獨有的邊界防御已經完美支持對此類樣本的攔截防御。所以金山毒霸用戶并不需要驚慌。

    同時，金山毒霸安全實驗室提醒廣大網游玩家，養成良好的上網、下載習慣，千萬不要在可疑、陌生站點進行下載，同時也不要下載任何未經驗證的游戲第三方外掛、客戶端等程序。

    鬼影6病毒惡性行為分析：

     1.隱藏端口驅動的相關驅動文件，在上述第二點中提到的StartIO被替換成病毒例程后，如果想將其修復，其中的一個方法就是需要用到相關驅動的原始文件，而病毒將其隱藏，意圖使相關修復失敗，在此點上可以較明顯的體現出病毒作者對rootkit對抗過程的了解。

    2.不斷回寫StartIO 例程，即使有相關軟件采用特殊方法將StartIO例程修復，病毒也會再次修改回去。

    3.隱藏病毒內存模塊及文件模塊，內存模塊被隱藏到了內核模塊的末尾處，而文件模塊以扇區的形式隱藏于磁盤末尾，而這些扇區也在上述病毒StartIO例程的保護范圍內。（無文件）

    4.阻止主流殺軟、ark工具、專殺的運行，具有較強的AV特征。

    5.由于該病毒是組合拳，鬼影6除了以上惡性行為外，還會下載大量盜號木馬，盜取用戶游戲錢財。

    用戶安全解決方案：

    1、已安裝金山毒霸用戶

    毒霸獨有的邊界防御已經完美支持對此類樣本的攔截防御。所以用戶不需要驚慌，但曾經使用過cf外掛、傳奇私服且關閉過毒霸的用戶，若出現電腦卡、運行緩慢、藍屏等疑似鬼影6中毒現象的話，請使用金山頑固木馬專殺。

    金山毒霸2012（獵豹）最新版下載地址：http://download.pcpop.com/Soft/331602.html

    2、未安裝金山毒霸的用戶

    請使用金山頑固病毒木馬專殺進行查殺修復。修復查殺完畢后，再使用金山毒霸查殺殘留木馬病毒。金山頑固病毒木馬專殺下載地址：http://cu003.www.duba.net/duba/tools/dubatools/usb/sysfixkill.exe

    以下是金山毒霸安全實驗室提供的鬼影病毒進化史：

    鬼影1：感染mbr，無加密。

    鬼影2：加密感染mbr，并通過diskhook保護mbr。

    鬼影3：感染beep.sys，掛鉤StartIO保護mbr。

    鬼影4：感染特定主板bios，從而保護感染的mbr不被修復。

    鬼影5：感染atapi+ntfs驅動，反復回寫保護mbr。

    鬼影6：通過atapi+ntfs+startio+回寫+av技術保護mbr不被修復，最大的亮點是無病毒文件對抗查殺。■