鬼影6病毒專盜網(wǎng)游玩家 金山毒霸全球首家攔截

令眾多網(wǎng)民色變的“鬼影病毒”，最近又爆出新的變種“鬼影6”。該變種主要盜取用戶的網(wǎng)游賬號，具有極強的免殺能力、甚至還能主動攻擊殺毒軟件。鬼影6成功運行后，會導(dǎo)致殺毒軟件無法正常啟動，或者查殺過程中崩潰，最可恨的是，連重裝系統(tǒng)都無法修復(fù)。目前，僅金山毒霸可成功攔截并清除該病毒。

7月19號，金山毒霸云安全中心鷹眼系統(tǒng)第一時間監(jiān)控到鬼影6爆發(fā)的跡象，金山毒霸安全工程師對病毒樣本進行深入分析，發(fā)現(xiàn)鬼影6的技術(shù)深度遠超已知的國內(nèi)外病毒，可稱之為“2012年技術(shù)含量最高的病毒”。

針對病毒的技術(shù)特點，毒霸工程師在當(dāng)天第一時間升級了防御方案，金山毒霸云安全中心在短短數(shù)秒內(nèi)就使所有毒霸用戶具有了攔截、查殺該病毒的能力。同時，金山毒霸工程師也在毒霸社區(qū)發(fā)布了預(yù)警，針對尚未安裝毒霸的更多用戶，于 23日公布專殺方案供下載，為網(wǎng)民排憂解難。

截止到7月23日，預(yù)計鬼影6已感染超過1萬臺電腦。被鬼影6感染的電腦，不僅殺毒軟件失常，電腦運行速度緩慢、經(jīng)常藍屏，還會自動下載夢幻西游、CF等熱門網(wǎng)絡(luò)游戲的盜號木馬群，導(dǎo)致用戶的財產(chǎn)受損。

金山安全實驗室監(jiān)測發(fā)現(xiàn)，鬼影6病毒主要通過用戶下載CF新月外掛或經(jīng)典傳奇私服等網(wǎng)游外掛、私服客戶端，入駐電腦。該病毒成功運行后，在進程中、系統(tǒng)啟動加載項里找不到任何異常，同時即使格式化重裝系統(tǒng)，也無法將徹底清除該病毒。猶如"鬼影"一般"陰魂不散"，所以稱為"鬼影"病毒。該病毒也因此成為國內(nèi)首個"引導(dǎo)區(qū)"下載者病毒。

圖1：鬼影6下載器文件拓撲圖(圖片來源于金山毒霸)

由于鬼影6病毒具有非常強的免殺性，能繞過絕大多數(shù)主流殺毒軟件的防御和查殺，恐將對國內(nèi)用戶造成比較大的損失。目前，金山毒霸是第一家掌握了該病毒原理、破壞規(guī)律的安全軟件，金山毒霸獨有的邊界防御已經(jīng)完美支持對此類樣本的攔截防御。所以金山毒霸用戶并不需要驚慌。

同時，金山毒霸安全實驗室提醒廣大網(wǎng)游玩家，養(yǎng)成良好的上網(wǎng)、下載習(xí)慣，千萬不要在可疑、陌生站點進行下載，同時也不要下載任何未經(jīng)驗證的游戲第三方外掛、客戶端等程序。

鬼影6病毒惡性行為分析：

1. 隱藏端口驅(qū)動的相關(guān)驅(qū)動文件，在上述第二點中提到的StartIO被替換成病毒例程后，如果想將其修復(fù)，其中的一個方法就是需要用到相關(guān)驅(qū)動的原始文件，而病毒將其隱藏，意圖使相關(guān)修復(fù)失敗，在此點上可以較明顯的體現(xiàn)出病毒作者對rootkit對抗過程的了解。

2. 不斷回寫StartIO 例程，即使有相關(guān)軟件采用特殊方法將StartIO例程修復(fù)，病毒也會再次修改回去。

3. 隱藏病毒內(nèi)存模塊及文件模塊，內(nèi)存模塊被隱藏到了內(nèi)核模塊的末尾處，而文件模塊以扇區(qū)的形式隱藏于磁盤末尾，而這些扇區(qū)也在上述病毒StartIO例程的保護范圍內(nèi)。(無文件)

4. 阻止主流殺軟、ark工具、專殺的運行，具有較強的AV特征。

5. 由于該病毒是組合拳，鬼影6除了以上惡性行為外，還會下載大量盜號木馬，盜取用戶游戲錢財。

用戶安全解決方案：

1、已安裝金山毒霸用戶

毒霸獨有的邊界防御已經(jīng)完美支持對此類樣本的攔截防御。所以用戶不需要驚慌，但曾經(jīng)使用過cf外掛、傳奇私服且關(guān)閉過毒霸的用戶，若出現(xiàn)電腦卡、運行緩慢、藍屏等疑似鬼影6中毒現(xiàn)象的話，請使用金山頑固木馬專殺。

金山毒霸2012(獵豹)SP5下載地址：

http://cd001.www.duba.net/duba/install/2011/ever/kavsetup0720_99_1.exe

2、未安裝金山毒霸的用戶

請使用金山頑固病毒木馬專殺進行查殺修復(fù)。修復(fù)查殺完畢后，再使用金山毒霸查殺殘留木馬病毒。

金山頑固病毒木馬專殺下載地址：

http://cu003.www.duba.net/duba/tools/dubatools/usb/sysfixkill.exe

圖2：金山頑固病毒木馬專殺截圖(圖片來源于金山毒霸)

鬼影病毒進化史：

鬼影1：感染mbr，無加密。

鬼影2：加密感染mbr，并通過diskhook保護mbr。

鬼影3：感染beep.sys，掛鉤StartIO保護mbr。

鬼影4：感染特定主板bios，從而保護感染的mbr不被修復(fù)。

鬼影5：感染atapi+ntfs驅(qū)動，反復(fù)回寫保護mbr。

鬼影6：通過atapi+ntfs+startio+回寫+av技術(shù)保護mbr不被修復(fù)，最大的亮點是無病毒文件對抗查殺。

########

關(guān)于金山毒霸

金山毒霸是金山網(wǎng)絡(luò)基于14年技術(shù)積累，專業(yè)的、永久免費的反病毒軟件，為網(wǎng)民提供專業(yè)優(yōu)質(zhì)的全面安全服務(wù)。最新的金山毒霸采用了面向互聯(lián)網(wǎng)的三引擎殺毒：云引擎、藍芯II引擎、系統(tǒng)修復(fù)引擎，全面應(yīng)用金山“云安全”體系，為您提供簡單可依賴的安全解決方案。

關(guān)于金山網(wǎng)絡(luò)

金山網(wǎng)絡(luò)成立于2010年11月，是金山安全和可牛公司合并而成的專業(yè)安全廠商，繼承了金山15年安全技術(shù)積累和可牛的互聯(lián)網(wǎng)基因。金山網(wǎng)絡(luò)從成立伊始就以改善中國互聯(lián)網(wǎng)安全環(huán)境為目標(biāo)和最高價值準(zhǔn)則，推出“FREE”戰(zhàn)略，以專業(yè)、免費的互聯(lián)網(wǎng)安全服務(wù)為用戶創(chuàng)造真正自由、安全的網(wǎng)絡(luò)環(huán)境。2011年，金山網(wǎng)絡(luò)用戶數(shù)增長5倍，月度活躍用戶突破1億，成為中國第2大互聯(lián)網(wǎng)及移動安全公司，中國第5大互聯(lián)網(wǎng)軟件公司。目前金山網(wǎng)絡(luò)旗下的永久免費軟件產(chǎn)品包括：金山毒霸、金山衛(wèi)士、獵豹瀏覽器、金山手機衛(wèi)士、金山電池醫(yī)生等。

網(wǎng)址：http://www.ijinshan.com

微博：http://weibo.com/duba

媒體垂詢：

金山網(wǎng)絡(luò)市場部

申熙

電話：010-62927779-6756

郵箱：shenxi@ijinshan.com