我见到的所谓“鬼影病毒” bbs.ikaka.com

baohe - 2010-3-18 16:14:00

病毒样本来自：http://bbs.janmeng.com/thread-921968-1-1.html]http://bbs.janmeng.com/thread-921968-1-1.html

1、这是它的MD5（图1）：

2、实机运行这个所谓“鬼影”样本（图2）：

3、运行样本后用金山毒霸提供的专杀工具杀毒。它说没有“鬼影病毒”，但让我安装金山网盾（我吃饱撑着啦？图3）：

4、这是鬼影写的注册表内容（图4-图6）：

5、这是鬼影的inf文件内容（图7）：

6、我实机运行鬼影后，系统任务栏中的瑞星2010健在（图8）：

7、我自己宰杀的鬼影病毒文件（图9）：

8、宰杀鬼影、重启系统后的网络端口状况（图10）：

用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10

baohe - 2010-3-18 16:14:00

9、重启系统后的桌面（图11）：

10、运行鬼影，自己删除病毒文件及其注册表内容后，重启系统，瑞星2010可以正常运行并升级病毒库：

11、病毒库升级完成：

newcenturymoon - 2010-3-18 16:28:00

貌似有的机器可以有的不可以可能还跟硬盘有关
如果成功了会看到 000000那个文件里面的内容被写到了引导区那块

baohe - 2010-3-18 16:34:00

引用:

原帖由 newcenturymoon 于 2010-3-18 16:28:00 发表
貌似有的机器可以有的不可以可能还跟硬盘有关
如果成功了会看到 000000那个文件里面的内容被写到了引导区那块

我用的这台电脑是联想扬天

光之仙剑 - 2010-3-18 16:53:00

沙发。。。。。

据说这个病毒写MBR的，，不知道是啥情况。。

newcenturymoon - 2010-3-18 17:57:00

换个IDE的硬盘看看

Downpour - 2010-3-18 18:22:00

这个病毒的具体的危害是什么呢
下载盗号木马
还是其它的?

梅罗 - 2010-3-19 10:58:00

ati
atixxx 我汗一个
学习了~

西藏耗牛 - 2010-3-19 13:33:00

猫叔怎么知道病毒修改的注册表
求教
病毒总是被猫叔秒了:kaka6:

流浪●剑尊 - 2010-3-19 21:12:00

不知啥时猫叔能和=给我开个小灶,单独教我点技术?

夲號ヱ被ジ盜 - 2010-3-20 11:59:00

不知道这是不是那个MBR信息....
对此无知，望指正

用工具提取的0扇区信息
这是运行前的0扇区
0扇区后的1扇区就00 00 00这样的，也就是无效

这运行后的，
0扇区后的
1扇区
2扇区
3扇区..
都有非00 00 00的数据

偶不会看这种玩意....

神投手2号 - 2010-3-21 11:38:00

楼上的MBR已经被修改了

jks_风 - 2010-3-21 12:29:00

我遇到的鬼影不是这样的，病毒样本是在UPK下载的，我并没有看到释放驱动，甚至还有BAT删除了自身，可能那个不是鬼影，还有我是在网吧测试的，也可能和无盘有点关系吧

暴风一号 - 2010-3-21 22:49:00

只要在DOS下用DISKGEN工具修复引导区（MBR）再用杀毒软件查杀
想试样本最好在虚拟机上操作
关闭瑞星所有监控再运行样本同时虚拟机开启网络等上几分钟再来看杀毒软件无法起来了不过这个病毒好像不破坏安全模式
瑞星杀毒到引导区的时候，杀毒软件自动关闭。
处理此病毒，建议先修复MBR 再断网杀毒查杀

非拉鐵非 - 2010-3-22 10:33:00

猫叔，你的桌面壁纸分享一下呗
0.0

85991168 - 2010-3-22 12:36:00

猫叔的桌面和我的一摸一样系统都是雨林木风

瑞星卡卡安全论坛