鬼影2

编辑:知识号互动百科 时间:2018-07-19 14:01:33
编辑 锁定
2011年首款高危木马“鬼影2”近日现身网络,电脑一旦中招就会明显变慢、无法安装安全软件、重装系统甚至格式化硬盘也无济于事,危害超过当年的“熊猫烧香”、“犇牛”等恶性木马下载器360安全中心发现,“鬼影2”主要通过捆绑游戏外挂进行传播,对20余款热门网游实施盗号,保守估计该木马至少已攻击了10万台网民电脑。
中文名
鬼影2
时    间
2011年
类    型
高危木马
传    播
捆绑游戏外挂进行传播

目录

鬼影2概念

编辑
360安全中心分析,“鬼影2”木马主要威胁Windows XP系统用户。该木马之所以难以清除,原因在于它采用了三招“组合拳”:第一招,欺骗用户关闭安全软件,“否则就无法达到游戏外挂的透视效果”;第二招,暴力破坏被用户手动关闭的安全软件,使其无法正常工作,并阻止用户重新安装运行主流安全软件;第三招,感染电脑硬盘MBR(主引导记录),使用户无论是重装系统、还是格式化硬盘都无法彻底清除木马。

鬼影2清除建议

编辑
在整整一年前,专门感染MBR的“鬼影”木马已经出现,然而“鬼影2”比它的原型更为顽固。根据360安全专家石晓虹博士介绍,所有正规安全软件在发布时都带有数字签名,相当于安全软件的“身份证”。“鬼影2”木马恰恰利用了这一点,凡是带着“身份证”的正规安全软件一律阻止运行,包括国内外11家主流安全厂商的产品。
石晓虹博士表示:“360安全卫士木马防火墙’完全可以拦截‘鬼影2’木马。但是如果用户被木马外挂欺骗,关闭了‘木马防火墙’,电脑在不设防状态下就会完全被木马控制。因此,网民一定要保持安全防护软件处于开启状态,不可被各种外挂程序误导。”
据介绍,“鬼影2”木马典型的中招症状包括:无法安装主流安全软件、电脑明显变慢、CF(穿越火线)等20余款热门游戏帐号被盗、任务管理器出现1.tmp等随机数字名称的可疑进程。如果电脑出现上述问题,用户可访问360官方网站求助中心[1]  ,联系工作人员协助查杀“鬼影2”木马 。
在无法安装运行安全软件及打开相关网站时可下载xuetr,PowerTool,下载地址: 百度
使用工具查看MBR是否异常,确认异常后使用软件MbrFix修复即可,软件使用请参考百度搜索
1,先用PowerTool或xuetr看MRB有无异常,PowerTool打开就有主引导记录,英文就是MBR了,检测是否异常,xuetr在系统杂项-杂项里,检测MBR ,提示未知,就是有问题了,下面修复
2,下载MbrFix.exe 放到,c盘,d盘或其他任何盘下都行,最好放根目录,方便,我用D盘说明,开始运行输入cmd进入命令行在进入D盘运行MbrFix /drive 0 fixmbr 就可以了,具体 是这样的
任务栏-开始-运行输入cmd,进入命令行
cd d: 进入d盘,这一步可以省略
输入d: 回车,
输入 MbrFix /drive 0 fixmbr 提示按Y就可以了,这样修复MBR了
下面是MBrfix的说明
Commands: (命令)
MbrFix /drive <num> driveinfo Display drive information
(显示硬盘信息)
用法同上,一个硬盘 是,MbrFix /drive 0 driveinfo 2个硬盘上1,以此类推
MbrFix /drive <num> listpartitions Display partition information
(显示分区信息)
MbrFix /drive <num> savembr <file> Save MBR and partitions to file
建议用xuetr保存,方便 (保存MBR 到分区)
MbrFix /drive <num> restorembr <file> Restore MBR and partitions from file
建议用xuetr还原,方便 (从分区写入MBR)
MbrFix /drive <num> fixmbr Update MBR code to W2K/XP/2003
(更新 MBR code 用于W2K/XP/2003 or Vista)
MbrFix /drive <num> clean Delete partitions in MBR
(删除所有分区的MBR)
MbrFix /drive <num> readsignature {/byte} Read disk signature from MBR
(从MBR读取签名信息,即标记)
MbrFix /drive <num> generatesignature Generate disk signature in MBR
(磁盘签名生成MBR中)
MbrFix /drive <num> readstate Read state from byte 0x1b0 in MBR
(读取位置在 byte 0x1b2 在MBR中)
MbrFix /drive <num> writestate <state> Write state to byte 0x1b0 in MBR
(写入到位置于 byte 0x1b2 在MBR中)
MbrFix /drive <num> drivesize 在mb区返回有用驱动
MbrFix /drive <num> writesignature <hex> 往MBR写入标记
MbrFix /drive <num> readdrive <startsector> <sectorcount> <file>
MbrFix /drive <num> /partition <part> fixbootsector <os>
MbrFix /drive <num> /partition <part> getpartitiontype
MbrFix /drive <num> /partition <part> setpartitiontype <typenum>
MbrFix /drive <num> /partition <part> setactivepartition
MbrFix /drive <num> getactivepartition 获取活动分区
MbrFix volumeinformation driveletter 获取分区卷信息
MbrFix flush {driveletter(s)} 刷新文件到分区
MbrFix listpartitiontypes 分区列表类型
rive numbering <num> starts on 0.
Commands restorembr, fixmbr, generatesignature, writestate and clean will ask for confirmation unless /yes is included.
If the /byte option is given for the readsignature command, the signature is returned as a byte array instead of as a DWORD.
示例:
我要修复C盘的xp引导(NT),进入软件所在目录,
MBRFIX /drive 0『(1、2、3等)』 driveinfo 查看你的硬盘信息,通过容量断定是不是你要修复mbr的U盘或硬盘
MBRFix /drive 0 fixmbr /yes
vista mbr修复 MBRFix /drive 0 fixmbr /vista。 注:这里0是第一块主硬盘主分区
ok,温馨提示下,在vista下会用新的bootmgr信息代替NT的引导信息,谨慎。
强调这工具是用来修复硬盘位置0簇512字节的引导信息
参考资料
词条标签:
计算机学 病毒