毒了沒(méi)關(guān)系，大不了重裝系統(tǒng)。但現(xiàn)在，這句話將成為歷史。3月15日，金山安全實(shí)驗(yàn)室捕獲一種被命名為“鬼影”的電腦病毒，該病毒寄生在磁盤主引導(dǎo)記錄（MBR），即使格式化重裝系統(tǒng)，也無(wú)法將該病毒清除。當(dāng)系統(tǒng)再次重啟時(shí)，該病毒會(huì)早于操作系統(tǒng)內(nèi)核先行加載。

而當(dāng)病毒成功運(yùn)行后，在進(jìn)程中、系統(tǒng)啟動(dòng)加載項(xiàng)里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。

　　顛覆傳統(tǒng)重裝系統(tǒng)無(wú)法清除

　　金山安全反病毒專家表示，“一般的電腦病毒是Windows系統(tǒng)下的應(yīng)用程序，在Windows加載之后才運(yùn)行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導(dǎo)記錄（MBR），在電腦啟動(dòng)過(guò)程中先于系統(tǒng)核心程序直接加載到電腦內(nèi)存中運(yùn)行。對(duì)于已經(jīng)寄生于MBR中的病毒，安全軟件無(wú)法進(jìn)行攔截。

因病毒比安全軟件的啟動(dòng)還要早。

　　李鐵軍表示，“鬼影”病毒是國(guó)內(nèi)首個(gè)引導(dǎo)區(qū)下載者病毒，顛覆了傳統(tǒng)病毒的感染特點(diǎn)以及用戶處理病毒問(wèn)題的思維定勢(shì)，不僅做到了“三無(wú)”特性——無(wú)文件、無(wú)系統(tǒng)啟動(dòng)項(xiàng)、無(wú)進(jìn)程模塊，而且即使用戶重裝了系統(tǒng)，該病毒依然會(huì)再次進(jìn)入用戶新系統(tǒng)；全新的病毒技術(shù)，突破了普通殺毒軟件的自保護(hù)，“鬼影”病毒可以說(shuō)是一個(gè)具有“劃時(shí)代”特征的電腦病毒。

　　安全軟件失效電腦明顯變慢

　　金山安全實(shí)驗(yàn)室的研究人員分析發(fā)現(xiàn)，這個(gè)“鬼影”病毒是隨某些共享軟件捆 綁安裝進(jìn)入電腦的，目前的日感染電腦約2-3萬(wàn)臺(tái)。

“鬼影”病毒入侵后，會(huì)釋放驅(qū)動(dòng)程序改寫硬盤MBR（主引導(dǎo)記錄），驅(qū)動(dòng)程序在開(kāi)機(jī)過(guò)程中攻擊眾多殺毒軟件，令殺毒軟件失效，再下載傳統(tǒng)的AV終結(jié)者木馬下載器，最終目的依然是通過(guò)傳播盜號(hào)木馬，竊取用戶虛擬財(cái)產(chǎn)牟利。

中毒后，最直觀的現(xiàn)象是安全軟件無(wú)法、正常運(yùn)行，電腦明顯變慢，IE主頁(yè)被改。

　　磁盤主引導(dǎo)記錄（MBR）簡(jiǎn)介：

　　MBR（MasterBootRecord），中文意為主引導(dǎo)記錄。電腦開(kāi)機(jī)后，主板自檢完成后，被第一個(gè)讀取到的磁盤位置。硬盤的0磁道的第一個(gè)扇區(qū)稱為MBR，它的大小是512字節(jié)，它是不屬于任何一個(gè)操作系統(tǒng)，也不能用操作系統(tǒng)提供的磁盤操作命令來(lái)讀取。DOS時(shí)代泛濫成災(zāi)的引導(dǎo)區(qū)病毒多寄生于此。

　　電腦系統(tǒng)開(kāi)機(jī)過(guò)程介紹：

　　開(kāi)啟電源開(kāi)機(jī)自檢–>主板BIOS根據(jù)用戶指定的啟動(dòng)順序從軟盤、硬盤或光驅(qū)進(jìn)行啟動(dòng)–>系統(tǒng)BIOS將主引導(dǎo)記錄(MBR)讀入內(nèi)存。

然后，將控制權(quán)交給主引導(dǎo)程序，再檢查分區(qū)表的狀態(tài)，尋找活動(dòng)的分區(qū)。最后，由主引導(dǎo)程序?qū)⒖刂茩?quán)交給活動(dòng)分區(qū)的引導(dǎo)記錄，由引導(dǎo)記錄加載操作系統(tǒng)。

“鬼影”病毒是近年來(lái)較為罕見(jiàn)的技術(shù)型病毒，病毒作者具有高超的編程技巧。

因WinXP系統(tǒng)的限制，一般手法改寫MBR會(huì)被系統(tǒng)判定為非法，這也是引導(dǎo)區(qū)病毒接近消亡的重要因素。這種繞過(guò)Winxp的安全限制，直接改寫MBR的技術(shù)主要在國(guó)外技術(shù)論壇傳播，在“鬼影”病毒之前，這一技術(shù)少有被黑客實(shí)際大規(guī)模利用的案例。金山安全實(shí)驗(yàn)室工程師說(shuō)，目前“鬼影”病毒只針對(duì)Winxp系統(tǒng)，該病毒尚不能破 壞Vista和Windows7系統(tǒng)。