2010年3月15日，金山安全實驗室捕獲一種被命名為“鬼影”的電腦病毒，該病毒寄生在磁盤主引導記錄（MBR），即使格式化重裝系統，也無法將該病毒清除。當系統再次重啟時，該病毒會早于操作系統內核先行加載。而當病毒成功運行后，在進程中、系統啟動加載項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。

“鬼影”病毒介紹

該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統之外，無文件、無系統啟動項、無進程模塊，比系統運行還早，結束所有殺毒軟件，下載av終結者，盜號木馬，ie主頁修改等大量多品種病毒，最重要的是重裝系統都不能清除該病毒。 二、具體行為 1、該病毒偽裝為某共享軟件，欺騙用戶下載安裝。 病毒文件中包含3部分文件： A、原正常的共享軟件。 B、“鬼影”病毒，修改系統引導區(mbr)，結束殺軟，下載AV終結者病毒。 C、捆綁IE首頁篡改器，修改用戶瀏覽器首頁，桌面添加多余的快捷方式。 2，“鬼影”病毒運行后，會釋放2個驅動到用戶電腦中，并加載。 3，驅動會修改系統的引導區（mbr)，并將b驅動寫入磁盤，保證病毒是優先于系統啟動，且病毒文件保存在系統之外。這樣進入系統后，病毒加載入內存，但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。 4，病毒母體自刪除。 5，重啟系統后，存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控，發現系統加載ntldr文件時，插入惡意代碼，使其加載寫入引導區第五個扇區的b驅動。 6，b驅動加載起來后，會監視系統中的所有進程模塊，若存在安全軟件的進程，直接結束。 7，b驅動會下載av終結者到電腦中，并運行。 8，av終結者會修改系統文件，對安全軟件進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產。

“鬼影”病毒防治辦法

磁盤主引導記錄（MBR）簡介： MBR（Master Boot Record）,中文意為主引導記錄。電腦開機后，主板自檢完成后，被第一個讀取到的磁盤位置。硬盤的0磁道的第一個扇區稱為MBR，它的大小是512字節，它是不屬于任何一個操作系統，也不能用操作系統提供的磁盤操作命令來讀取。DOS時代泛濫成災的引導區病毒多寄生于此。 電腦系統開機過程介紹開啟電源開機自檢-->主板BIOS根據用戶指定的啟動順序從軟盤、硬盤或光驅進行啟動 -->系統BIOS將主引導記錄(MBR)讀入內存。然后，將控制權交給主引導程序，再檢查分區表的狀態，尋找活動的分區。最后，由主引導程序將控制權交給活動分區的引導記錄，由引導記錄加載操作系統。 病毒清除方法 在WINDOWS時代之所以很少見，并不是因為做不到

金山專殺工具：http://cu003.www.duba.net/duba/tools/dubatools/guiyingfix.exe