2010年3月15日，金山安全实验室捕获一种新型的电脑病毒，由于该病毒成功运行后，在进程中、系统启动载入项里找不到任何异常，同时即使格式化重灌系统，也无法将彻底清除该病毒。犹如"鬼影"一般"阴魂不散"，所以称为"鬼影"病毒。该病毒也因此成为国内首个"引导区"下载者病毒。

一路走来，冲击波、震荡波、QQ病毒、传奇木马、熊猫烧香、机器狗……遭遇过病毒攻击的人们依然还在为自己的损失叹息，感慨为何不"防患于未然"，面对"未然"的鬼影病毒又该如何"防患"？

网路安全技术核心就是"攻"与"防"的技术，着名的《孙子兵法》中写到"知彼知己者，百战不殆；不知彼而知己，一胜一负；不知彼，不知己，每战必殆"。而解决问题，分析问题是必不可少的。

鬼影病毒是指寄生在磁碟主引导记录（MBR），即使格式化重灌系统，也无法清除的病毒。当系统再次重启时，该病毒会早于作业系统核心先行载入。而当病毒成功运行后，在进程中、系统启动载入项里找不到任何异常，病毒就象"鬼影"一样在中毒电脑上"阴魂不散"。

网民说过：中毒了没关係，重灌系统就OK。而现在这句话将成为历史。因该病毒寄生在磁碟主引导记录（MBR），即使格式化重灌系统，也无法将该病毒彻底清除。

1、颠覆传统，重灌系统无法清除

业界反病毒专家表示，"一般的电脑病毒是Windows系统下的套用程式，在Windows载入之后才运行。而"鬼影"病毒的主要代码是寄生在硬碟的主引导记录（MBR），在电脑启动过程中先于系统核心程式直接载入到电脑记忆体中运行。对于已经寄生于MBR中的病毒，安全软体无法进行拦截。因病毒比安全软体的启动还要早。

2、安全软体失效 电脑明显变慢

"鬼影"病毒是随某些共享软体捆绑安装进入电脑的，"鬼影"病毒入侵后，会释放驱动程式改写硬碟MBR（主引导记录），驱动程式在开机过程中攻击众多防毒软体，令防毒软体失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软体无法正常运行，电脑明显变慢，IE主页被改。

3、罕见技术型病毒

"鬼影"病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在"鬼影"病毒之前，这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说，目前"鬼影"病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows 7系统。

通过研究发现，电脑在中毒之后，会向整个区域网路传送大量的ARP欺骗信息，严重威胁网民游戏账户信息的安全，而且极易导致网咖大面积的断网，极大影响了网咖的正常运营。

对ARP病毒欺骗攻击，传统办法是增大路由器ARP信息主动广播的密度。为了减轻网路广播的压力，採用IP\MAC地址双向绑定的方式进一步防御ARP病毒的攻击。

"鬼影"病毒是近年来罕见的技术型病毒，它具有攻击包密集高、数量多的特点，这种攻击已经超过普通路由器的性能极限，很容易堵死路由器网路接口，造成全网掉线。因此，传统ARP防御方式无法阻挡"鬼影"。

现象:

1. 系统明显变慢，打开网页很慢

2.防毒软体打不开了，安全相关的网页打不开了

3.重灌系统仍不能清除

4.桌面有个垃圾图示，打开是个色情网站，无法彻底删除

5. 游戏账号被盗了

至少有以上两种现象，则说明可能中了“鬼影”病毒，请下载该专杀进行检测并修复。

如果检测出来不是鬼影病毒。也可以下载360系统急救箱或金山急救箱清除其他木马。

注意：清除该病毒需要修改磁碟主引导记录（MBR），有一定机率导致不能引导系统。

1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并载入。和母体病毒捆绑在一起其它流氓软体会修改桌面捷径，尝试修改IE属性。

（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）

2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁碟，保证病毒是优先于系统启动，且病毒档案保存在系统之外。这样进入系统后，病毒载入入记忆体，但找不到任何启动项、找不到病毒档案、在进程中找不到任何进程模组。

3.病毒母体自己删除。

4.重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统载入ntldr档案时，插入恶意代码，使其载入b驱动。

5.b驱动载入起来后，会监视系统中的所有进程模组，若存在安全软体的进程，直接结束。

6.b驱动会下载av终结者到电脑中，并运行。

7.下载的av终结者病毒会修改系统档案，对安全软体进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统

该病毒开创了中国恶意软体编写的先河，预计该病毒的源档案将会成为黑色产业链中的抢手货，未来可能会有更多恶意软体利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒，都会令安全厂商头疼不已。