鬼影病毒闹腾了很长一段时间了。但我一直无缘见到一个能在WIN7下运行的“鬼影”。
今天,总算弄到了一个WIN7版的“鬼影”。用CAHIPS监控运行,看了一下。说实在的,与TDSS TDL4比较,这个MBR病毒真的不咋地。它写MBR时居然被CAHIPS监测到了(TDSS TDL4写MBR时CAHIPS是监测不到的)。
另一不如TDSS TDL4的地方在于“穿还原”。这个鬼影确实可以穿透 acronis true image的保护。但是这种穿透是没用的————重启、脱离try&decide模式后,系统无法引导。这时用户肯定要考虑到PE下折腾了,你这个鬼影还能活多久呢?相比之下,TDSS TDL4就没这个问题。
看来,鬼影病毒的炒作成分很大。
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.7.62 Version/11.01