华军资讯消息：近日金山安全实验室捕获一种名为“鬼影”的病毒，该病毒专门攻击XP系统，由于寄生在磁盘主引导记录(MBR)，因此就算格式化重装系统也无法清除该病毒。“鬼影”病毒在难以清除的同时，也会干掉系统中的杀毒软件，并下载大量木马，堪称史上最牛的病毒。

　　据金山安全工程师李铁军的博客介绍，“鬼影”病毒主要有如下几个特征：

　　该病毒很善于隐藏自己：由于“鬼影”病毒母体保存在硬盘主引导记录(MBR)中，独立于系统之外，所以用杀毒软件无法查杀该病毒;

　　即使重装系统也无法彻底清除该病毒：在系统启动过程中，主引导记录(MBR)中的恶意代码会对Windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载驱动。这样就算用户重装了系统，也无法彻底清除该病毒;

　　该病毒专门针对XP系统：由于XP仍旧是当前使用最广泛的操作系统，“鬼影”病毒只对XP有效，并不影响Vista或Win7。

　　“鬼影”病毒传播方法：

　　当前“鬼影”病毒主要通过网页挂马传播，金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。　

　　“鬼影”病毒的影响力分析：

　　由于“鬼影”病毒具有重装系统也无法清除的破坏力，利用其进行传播的有效性远远超过了之前的恶意程序。因此，估计“鬼影”病毒会在短时间内受到挂马集团的重视，成为黑色产业链中的抢手货，未来可能会有更多恶意软件利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。

　　如何防范“鬼影”病毒?

　　以前网友在碰到系统中毒无法用常规的杀毒方法解决时，一般都会重装系统，甚至直接格式化后再重装。但这些方法在“鬼影”病毒面前都已经失效，所以防范“鬼影”病毒的重要性不言而喻。目前还没有出现标准的防范“鬼影”病毒的方法，而金山安全实验室专门升级了金山毒霸，可以查杀传播“鬼影”病毒的母体文件，用户只需要在线升级即可获得相应防御能力;同时，金山网盾已将传播该病毒的恶意URL加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。

　　附一：“鬼影”病毒主要特征介绍

　　1、“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。

　　2、a驱动会修改系统的主引导记录(mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

　　3、病毒母体自删除。

　　4、重启系统后，主引导记录(MBR)中的恶意代码会对Windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

　　5、b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

　　6、b驱动会下载av终结者到电脑中，并运行。

　　7、下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

　　8、该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

　　附二：相关名词解释

　　MBR(Master Boot Record)，中文意为主引导记录。电脑通电开机，主板自检完成后，被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区，它的大小是512字节，不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。

　　电脑系统开机过程：开机通电自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启9 7 3 1 2 4 8 :

本文来源：华军资讯 作者：苏熠渊