病毒特征描述

　　1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。 　　(分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好)

　　2.a驱动会修改系统的主引导记录(mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。 　　(“鬼影”病毒是近年来极为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术一般称之为MBR-rootkit，主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客利用的案例。)

　　3.病毒母体自删除。

　　4.重启系统后，主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

　　5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

　　6.b驱动会下载av终结者到电脑中，并运行。 　　7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。 　　8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

　　金山查杀后手动善后

　　开始-运行-msconfig。

　　1.选择“启动”，把ali前面的勾去掉，单击应用。 　

　　2.开始-运行-win.ini，内容已被更改为：

　　[DownLoad] 　　
　　exe1=coopen-
　　3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe 　　
　　exe2= 　　
　　[ad] 　　
　　ad1=12[HomePage] 　　
　　home= 　　
　　[Time] 　　
　　DownLoadIniTime=60 　　
　　PopAdTime=2 　　
　　DownLoadLelayTime=1RunDelayTime=0 　　
　　FirstRunExeTime=2 　　
　　FirstPopWidTime=1 　　
　　cjver=2 　　
　　cjaddr= 　　
　　[Link]Link1=手机图铃|http://66.79.168.187:55325/tuling.html 　　
　　ing.html 　　
　　替换为 　　
　　; for 16-bit appsupport 　　
　　[fonts] 　　
　　[extensions] 　　
　　[mci extensions] 　　
　　[files] 　　
　　[Mail] 　　
　　MAPI=1CMCDLLNAME32=mapi32.dll 　　
　　CMCDLLNAME=mapi.dll 　　
　　CMC=1 　　MAPIX=1 　　
　　MAPIXVER=1.0.0.1OLEMessaging=1 　　
　　[MCI Extensions.BAK] 　　
　　aif=MPEGVideo 　　
　　aifc=MPEGVideo 　　
　　aiff=MPEGVideoasf=MPEGVideo 　　
　　asx=MPEGVideo 　　
　　au=MPEGVideo 　　
　　m1v=MPEGVideo 　　
　　m3u=MPEGVideo
　　mp2=MPEGVideo 　　
　　mp2v=MPEGVideo 　　
　　mp3=MPEGVideo 　　
　　mpa=MPEGVideo 　　
　　mpe=MPEGVideo
　　mpeg=MPEGVideo 　　
　　mpg=MPEGVideo 　　
　　mpv2=MPEGVideo 　　
　　snd=MPEGVideo 　　
　　wax=MPEGVideo
　　wm=MPEGVideo 　　
　　wma=MPEGVideo 　　
　　wmv=MPEGVideo 　　
　　wmx=MPEGVideo 　　
　　wpl=MPEGVideo
　　wvx=MPEGVideo 　　
　　m2v=MPEGVideo 　　
　　mod=MPEGVideo 　　
　　保存，退出