鬼影6病毒
令眾多網民色變的“鬼影病毒”,最近又爆出新的變種“鬼影6”。該變種主要盜取用戶的網遊賬號,具有極強的免殺能力、甚至還能主動攻擊殺毒軟件。鬼影6成功運行後,會導致殺毒軟件無法正常啟動,或者查殺過程中崩潰,最可恨的是,連重裝系統都無法修復。目前,僅金山毒霸可成功攔截並清除該病毒。
7月19號,金山毒霸雲安全中心鷹眼系統第一時間監控到鬼影6爆發的跡象,金山毒霸安全工程師對病毒樣本進行深入分析,發現鬼影6的技術深度遠超已知的國內外病毒,可稱之為“2012年技術含量最高的病毒”。
針對病毒的技術特點,毒霸工程師在當天第一時間升級瞭防禦方案,金山毒霸雲安全中心在短短數秒內就使所有毒霸用戶具有瞭攔截、查殺該病毒的能力。同時,金山毒霸工程師也在毒霸社區發佈瞭預警,針對尚未安裝毒霸的更多用戶,於 23日公佈專殺方案供下載,為網民排憂解難。
截止到7月23日,預計鬼影6已感染超過1萬臺電腦。被鬼影6感染的電腦,不僅殺毒軟件失常,電腦運行速度緩慢、經常藍屏,還會自動下載夢幻西遊、CF等熱門網絡遊戲的盜號木馬群,導致用戶的財產受損。
金山安全實驗室監測發現,鬼影6病毒主要通過用戶下載CF新月外掛或經典傳奇私服等網遊外掛、私服客戶端,入駐電腦。該病毒成功運行後,在進程中、系統啟動加載項裡找不到任何異常,同時即使格式化重裝系統,也無法將徹底清除該病毒。猶如"鬼影"一般"陰魂不散",所以稱為"鬼影"病毒。該病毒也因此成為國內首個"引導區"下載者病毒。
圖1:鬼影6下載器文件拓撲圖
由於鬼影6病毒具有非常強的免殺性,能繞過絕大多數主流殺毒軟件的防禦和查殺,恐將對國內用戶造成比較大的損失。目前,金山毒霸是第一傢掌握瞭該病毒原理、破壞規律的安全軟件,金山毒霸獨有的邊界防禦已經完美支持對此類樣本的攔截防禦。所以金山毒霸用戶並不需要驚慌。
同時,金山毒霸安全實驗室提醒廣大網遊玩傢,養成良好的上網、下載習慣,千萬不要在可疑、陌生站點進行下載,同時也不要下載任何未經驗證的遊戲第三方外掛、客戶端等程序。
鬼影6病毒惡性行為分析:
1. 隱藏端口驅動的相關驅動文件,在上述第二點中提到的StartIO被替換成病毒例程後,如果想將其修復,其中的一個方法就是需要用到相關驅動的原始文件,而病毒將其隱藏,意圖使相關修復失敗,在此點上可以較明顯的體現出病毒作者對rootkit對抗過程的瞭解。
2. 不斷回寫StartIO 例程,即使有相關軟件采用特殊方法將StartIO例程修復,病毒也會再次修改回去。
3. 隱藏病毒內存模塊及文件模塊,內存模塊被隱藏到瞭內核模塊的末尾處,而文件模塊以扇區的形式隱藏於磁盤末尾,而這些扇區也在上述病毒StartIO例程的保護范圍內。(無文件)
4. 阻止主流殺軟、ark工具、專殺的運行,具有較強的AV特征。
5. 由於該病毒是組合拳,鬼影6除瞭以上惡性行為外,還會下載大量盜號木馬,盜取用戶遊戲錢財。
Orignal From: 外掛內置鬼影6病毒玩傢面臨盜號風險
留言列表
