鬼影6病毒專盜網游玩家 金山毒霸全球首家攔截

令眾多網民色變的“鬼影病毒”，最近又爆出新的變種“鬼影6”。該變種主要盜取用戶的網游賬號，具有極強的免殺能力、甚至還能主動攻擊殺毒軟件。鬼影6成功運行后，會導致殺毒軟件無法正常啟動，或者查殺過程中崩潰，最可恨的是，連重裝系統(tǒng)都無法修復。目前，僅金山毒霸可成功攔截并清除該病毒。

7月19號，金山毒霸云安全中心鷹眼系統(tǒng)第一時間監(jiān)控到鬼影6爆發(fā)的跡象，金山毒霸安全工程師對病毒樣本進行深入分析，發(fā)現鬼影6的技術深度遠超已知的國內外病毒，可稱之為“2012年技術含量最高的病毒”。

針對病毒的技術特點，毒霸工程師在當天第一時間升級了防御方案，金山毒霸云安全中心在短短數秒內就使所有毒霸用戶具有了攔截、查殺該病毒的能力。同時，金山毒霸工程師也在毒霸社區(qū)發(fā)布了預警，針對尚未安裝毒霸的更多用戶，于 23日公布專殺方案供下載，為網民排憂解難。

截止到7月23日，預計鬼影6已感染超過1萬臺電腦。被鬼影6感染的電腦，不僅殺毒軟件失常，電腦運行速度緩慢、經常藍屏，還會自動下載夢幻西游、CF等熱門網絡游戲的盜號木馬群，導致用戶的財產受損。

金山安全實驗室監(jiān)測發(fā)現，鬼影6病毒主要通過用戶下載CF新月外掛或經典傳奇私服等網游外掛、私服客戶端，入駐電腦。該病毒成功運行后，在進程中、系統(tǒng)啟動加載項里找不到任何異常，同時即使格式化重裝系統(tǒng)，也無法將徹底清除該病毒。猶如"鬼影"一般"陰魂不散"，所以稱為"鬼影"病毒。該病毒也因此成為國內首個"引導區(qū)"下載者病毒。

圖1：鬼影6下載器文件拓撲圖(圖片來源于金山毒霸)

由于鬼影6病毒具有非常強的免殺性，能繞過絕大多數主流殺毒軟件的防御和查殺，恐將對國內用戶造成比較大的損失。目前，金山毒霸是第一家掌握了該病毒原理、破壞規(guī)律的安全軟件，金山毒霸獨有的邊界防御已經完美支持對此類樣本的攔截防御。所以金山毒霸用戶并不需要驚慌。

同時，金山毒霸安全實驗室提醒廣大網游玩家，養(yǎng)成良好的上網、下載習慣，千萬不要在可疑、陌生站點進行下載，同時也不要下載任何未經驗證的游戲第三方外掛、客戶端等程序。

鬼影6病毒惡性行為分析：

1. 隱藏端口驅動的相關驅動文件，在上述第二點中提到的StartIO被替換成病毒例程后，如果想將其修復，其中的一個方法就是需要用到相關驅動的原始文件，而病毒將其隱藏，意圖使相關修復失敗，在此點上可以較明顯的體現出病毒作者對rootkit對抗過程的了解。

2. 不斷回寫StartIO 例程，即使有相關軟件采用特殊方法將StartIO例程修復，病毒也會再次修改回去。

3. 隱藏病毒內存模塊及文件模塊，內存模塊被隱藏到了內核模塊的末尾處，而文件模塊以扇區(qū)的形式隱藏于磁盤末尾，而這些扇區(qū)也在上述病毒StartIO例程的保護范圍內。(無文件)

4. 阻止主流殺軟、ark工具、專殺的運行，具有較強的AV特征。

5. 由于該病毒是組合拳，鬼影6除了以上惡性行為外，還會下載大量盜號木馬，盜取用戶游戲錢財。

用戶安全解決方案：

1、已安裝金山毒霸用戶

毒霸獨有的邊界防御已經完美支持對此類樣本的攔截防御。所以用戶不需要驚慌，但曾經使用過cf外掛、傳奇私服且關閉過毒霸的用戶，若出現電腦卡、運行緩慢、藍屏等疑似鬼影6中毒現象的話，請使用金山頑固木馬專殺。

金山毒霸2012(獵豹)SP5下載地址：

http://cd001.www.duba.net/duba/install/2011/ever/kavsetup0720_99_1.exe

2、未安裝金山毒霸的用戶

請使用金山頑固病毒木馬專殺進行查殺修復。修復查殺完畢后，再使用金山毒霸查殺殘留木馬病毒。

金山頑固病毒木馬專殺下載地址：

http://cu003.www.duba.net/duba/tools/dubatools/usb/sysfixkill.exe

圖2：金山頑固病毒木馬專殺截圖(圖片來源于金山毒霸)

鬼影病毒進化史：

鬼影1：感染mbr，無加密。

鬼影2：加密感染mbr，并通過diskhook保護mbr。

鬼影3：感染beep.sys，掛鉤StartIO保護mbr。

鬼影4：感染特定主板bios，從而保護感染的mbr不被修復。

鬼影5：感染atapi+ntfs驅動，反復回寫保護mbr。

鬼影6：通過atapi+ntfs+startio+回寫+av技術保護mbr不被修復，最大的亮點是無病毒文件對抗查殺。

########

關于金山毒霸

金山毒霸是金山網絡基于14年技術積累，專業(yè)的、永久免費的反病毒軟件，為網民提供專業(yè)優(yōu)質的全面安全服務。最新的金山毒霸采用了面向互聯網的三引擎殺毒：云引擎、藍芯II引擎、系統(tǒng)修復引擎，全面應用金山“云安全”體系，為您提供簡單可依賴的安全解決方案。

關于金山網絡

金山網絡成立于2010年11月，是金山安全和可牛公司合并而成的專業(yè)安全廠商，繼承了金山15年安全技術積累和可牛的互聯網基因。金山網絡從成立伊始就以改善中國互聯網安全環(huán)境為目標和最高價值準則，推出“FREE”戰(zhàn)略，以專業(yè)、免費的互聯網安全服務為用戶創(chuàng)造真正自由、安全的網絡環(huán)境。2011年，金山網絡用戶數增長5倍，月度活躍用戶突破1億，成為中國第2大互聯網及移動安全公司，中國第5大互聯網軟件公司。目前金山網絡旗下的永久免費軟件產品包括：金山毒霸、金山衛(wèi)士、獵豹瀏覽器、金山手機衛(wèi)士、金山電池醫(yī)生等。

網址：http://www.ijinshan.com

微博：http://weibo.com/duba

媒體垂詢：

金山網絡市場部

申熙

電話：010-62927779-6756

郵箱：shenxi@ijinshan.com