毒了沒關(guān)系，大不了重裝系統(tǒng)。但現(xiàn)在，這句話將成為歷史。3月15日，金山安全實驗室捕獲一種被命名為“鬼影”的電腦病毒，該病毒寄生在磁盤主引導(dǎo)記錄（MBR），即使格式化重裝系統(tǒng)，也無法將該病毒清除。當(dāng)系統(tǒng)再次重啟時，該病毒會早于操作系統(tǒng)內(nèi)核先行加載。

而當(dāng)病毒成功運行后，在進程中、系統(tǒng)啟動加載項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。

　　顛覆傳統(tǒng)重裝系統(tǒng)無法清除

　　金山安全反病毒專家表示，“一般的電腦病毒是Windows系統(tǒng)下的應(yīng)用程序，在Windows加載之后才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導(dǎo)記錄（MBR），在電腦啟動過程中先于系統(tǒng)核心程序直接加載到電腦內(nèi)存中運行。對于已經(jīng)寄生于MBR中的病毒，安全軟件無法進行攔截。

因病毒比安全軟件的啟動還要早。

　　李鐵軍表示，“鬼影”病毒是國內(nèi)首個引導(dǎo)區(qū)下載者病毒，顛覆了傳統(tǒng)病毒的感染特點以及用戶處理病毒問題的思維定勢，不僅做到了“三無”特性——無文件、無系統(tǒng)啟動項、無進程模塊，而且即使用戶重裝了系統(tǒng)，該病毒依然會再次進入用戶新系統(tǒng)；全新的病毒技術(shù)，突破了普通殺毒軟件的自保護，“鬼影”病毒可以說是一個具有“劃時代”特征的電腦病毒。

　　安全軟件失效電腦明顯變慢

　　金山安全實驗室的研究人員分析發(fā)現(xiàn)，這個“鬼影”病毒是隨某些共享軟件捆 綁安裝進入電腦的，目前的日感染電腦約2-3萬臺。

“鬼影”病毒入侵后，會釋放驅(qū)動程序改寫硬盤MBR（主引導(dǎo)記錄），驅(qū)動程序在開機過程中攻擊眾多殺毒軟件，令殺毒軟件失效，再下載傳統(tǒng)的AV終結(jié)者木馬下載器，最終目的依然是通過傳播盜號木馬，竊取用戶虛擬財產(chǎn)牟利。

中毒后，最直觀的現(xiàn)象是安全軟件無法、正常運行，電腦明顯變慢，IE主頁被改。

　　磁盤主引導(dǎo)記錄（MBR）簡介：

　　MBR（MasterBootRecord），中文意為主引導(dǎo)記錄。電腦開機后，主板自檢完成后，被第一個讀取到的磁盤位置。硬盤的0磁道的第一個扇區(qū)稱為MBR，它的大小是512字節(jié)，它是不屬于任何一個操作系統(tǒng)，也不能用操作系統(tǒng)提供的磁盤操作命令來讀取。DOS時代泛濫成災(zāi)的引導(dǎo)區(qū)病毒多寄生于此。

　　電腦系統(tǒng)開機過程介紹：

　　開啟電源開機自檢–>主板BIOS根據(jù)用戶指定的啟動順序從軟盤、硬盤或光驅(qū)進行啟動–>系統(tǒng)BIOS將主引導(dǎo)記錄(MBR)讀入內(nèi)存。

然后，將控制權(quán)交給主引導(dǎo)程序，再檢查分區(qū)表的狀態(tài)，尋找活動的分區(qū)。最后，由主引導(dǎo)程序?qū)⒖刂茩?quán)交給活動分區(qū)的引導(dǎo)記錄，由引導(dǎo)記錄加載操作系統(tǒng)。

“鬼影”病毒是近年來較為罕見的技術(shù)型病毒，病毒作者具有高超的編程技巧。

因WinXP系統(tǒng)的限制，一般手法改寫MBR會被系統(tǒng)判定為非法，這也是引導(dǎo)區(qū)病毒接近消亡的重要因素。這種繞過Winxp的安全限制，直接改寫MBR的技術(shù)主要在國外技術(shù)論壇傳播，在“鬼影”病毒之前，這一技術(shù)少有被黑客實際大規(guī)模利用的案例。金山安全實驗室工程師說，目前“鬼影”病毒只針對Winxp系統(tǒng)，該病毒尚不能破 壞Vista和Windows7系統(tǒng)。