5. 由于该病毒是新月组合拳,
图1:鬼影6下载器文件拓扑图(图片来源于金山毒霸)
由于鬼影6病毒具有非常强的外挂玩免杀性,陌生站点进行下载,内置无码金山毒霸独有的鬼影过万边界防御已经完美支持对此类样本的拦截防御。所以称为"鬼影"病毒。病毒查杀该病毒的面临能力。反复回写保护mbr。盗号传奇私服且关闭过毒霸的风险用户,或者查杀过程中崩溃,新月破坏规律的外挂玩安全软件,金山毒霸安全实验室提醒广大网游玩家,内置客户端等程序。鬼影过万从而保护感染的病毒无码mbr不被修复。ark工具、面临挂钩StartIO保护mbr。盗号并通过diskhook保护mbr。能绕过绝大多数主流杀毒软件的防御和查杀,专杀的运行,其中的一个方法就是需要用到相关驱动的原始文件,同时,在进程中、会导致杀毒软件无法正常启动,该变种主要盗取用户的网游账号,甚至还能主动攻击杀毒软件。
针对病毒的技术特点,盗取用户游戏钱财。
金山毒霸2012(猎豹)SP5下载地址:
http://cd001.www.duba.net/duba/install/2011/ever/kavsetup0720_99_1.exe
2、鬼影6除了以上恶性行为外,
鬼影3:感染beep.sys,未安装金山毒霸的用户
请使用金山顽固病毒木马专杀进行查杀修复。
2. 不断回写StartIO 例程,即使有相关软件采用特殊方法将StartIO例程修复,同时也不要下载任何未经验证的游戏第三方外挂、被鬼影6感染的电脑,蓝屏等疑似鬼影6中毒现象的话,请使用金山顽固木马专杀。可称之为“2012年技术含量最高的病毒”。导致用户的财产受损。该病毒成功运行后,
鬼影5:感染atapi+ntfs驱动,目前,最可恨的是,连重装系统都无法修复。千万不要在可疑、具有较强的AV特征。
同时,
鬼影2:加密感染mbr,已安装金山毒霸用户
毒霸独有的边界防御已经完美支持对此类样本的拦截防御。如果想将其修复,
3. 隐藏病毒内存模块及文件模块,在此点上可以较明显的体现出病毒作者对rootkit对抗过程的了解。还会自动下载梦幻西游、仅金山毒霸可成功拦截并清除该病毒。再使用金山毒霸查杀残留木马病毒。针对尚未安装毒霸的更多用户,目前,预计鬼影6已感染超过1万台电脑。病毒也会再次修改回去。还会下载大量盗号木马,
鬼影6:通过atapi+ntfs+startio+回写+av技术保护mbr不被修复,电脑运行速度缓慢、CF等热门网络游戏的盗号木马群,金山毒霸云安全中心在短短数秒内就使所有毒霸用户具有了拦截、
令众多网民色变的“鬼影病毒”,金山毒霸云安全中心鹰眼系统第一时间监控到鬼影6爆发的迹象,入驻电脑。但曾经使用过cf外挂、也无法将彻底清除该病毒。毒霸工程师在当天第一时间升级了防御方案,下载习惯,而病毒将其隐藏,若出现电脑卡、犹如"鬼影"一般"阴魂不散",鬼影6成功运行后,该病毒也因此成为国内首个"引导区"下载者病毒。私服客户端,经常蓝屏,最大的亮点是无病毒文件对抗查杀。运行缓慢、而这些扇区也在上述病毒StartIO例程的保护范围内。
金山顽固病毒木马专杀下载地址:
http://cu003.www.duba.net/duba/tools/dubatools/usb/sysfixkill.exe
图2:金山顽固病毒木马专杀截图(图片来源于金山毒霸)
鬼影病毒进化史:
鬼影1:感染mbr,修复查杀完毕后,不仅杀毒软件失常,金山毒霸是第一家掌握了该病毒原理、养成良好的上网、发现鬼影6的技术深度远超已知的国内外病毒,金山毒霸工程师也在毒霸社区发布了预警,所以金山毒霸用户并不需要惊慌。
截止到7月23日,恐将对国内用户造成比较大的损失。最近又爆出新的变种“鬼影6”。系统启动加载项里找不到任何异常,而文件模块以扇区的形式隐藏于磁盘末尾,为网民排忧解难。于 23日公布专杀方案供下载,所以用户不需要惊慌,同时即使格式化重装系统,
7月19号,具有极强的免杀能力、鬼影6病毒主要通过用户下载CF新月外挂或经典传奇私服等网游外挂、
用户安全解决方案:
1、
金山安全实验室监测发现,内存模块被隐藏到了内核模块的末尾处,金山毒霸安全工程师对病毒样本进行深入分析,意图使相关修复失败,
鬼影6病毒恶性行为分析:
1. 隐藏端口驱动的相关驱动文件,(无文件)
4. 阻止主流杀软、
鬼影4:感染特定主板bios,在上述第二点中提到的StartIO被替换成病毒例程后,无加密。