Red de conocimientos turísticos - Conocimientos sobre calendario chino - ¿Qué es el virus "fantasma"? ¿Cómo prevenirlo? Virus "Ghost Shadow" El 15 de marzo, Kingsoft Security Lab capturó un virus informático llamado "Ghost Shadow", que parasita el registro de arranque maestro (MBR) del disco, incluso al formatear el sistema y la reinstalación no puede borrarlo. Cuando el sistema se reinicia nuevamente, el virus se carga antes que el kernel del sistema operativo. Cuando el virus se ejecuta correctamente, durante este proceso, no se pueden encontrar complementos anormales cuando se inicia el sistema y el virus se convierte en un "fantasma" que envenena la computadora como un "fantasma". El virus "fantasma" también se convirtió en el primer virus descargador de "zona de arranque" en China. Características del virus fantasma: reinstalar el sistema no puede detectarlo ni eliminarlo. En el pasado, a menudo escuché a los internautas decir que no importa si estás infectado, siempre y cuando reinstales el sistema. Pero ahora, esta frase pasará a la historia. El 15 de marzo, Kingsoft Security Lab capturó un virus informático llamado "Ghost Shadow". El virus es un parásito en el registro de arranque maestro del disco (MBR). Incluso si el sistema se formatea y se reinstala, el virus no se puede eliminar. Cuando el sistema se reinicie nuevamente, el virus se cargará antes que el kernel del sistema operativo. Una vez que el virus se ejecuta correctamente, no se encuentran anomalías en el proceso ni en los complementos de inicio del sistema, y el virus "desaparece sin dejar rastro" en la computadora infectada como un "fantasma". Subvirtiendo la tradición de reinstalar el sistema y no poder eliminarlo, los expertos de Kingsoft Security Anti-Virus dijeron: "Los virus informáticos generales son aplicaciones bajo el sistema Windows y se ejecutan después de cargar Windows. El código principal del virus "fantasma" es parásito en el registro de arranque maestro del disco duro (MBR), el programa central del sistema se carga directamente en la memoria de la computadora antes de que se inicie la computadora. Para los virus que ya son parásitos en el MBR, el software de seguridad no puede interceptarlos porque el virus se inicia antes que el de seguridad. software "El virus es el primer virus de descarga de área de arranque en China. Subvierte las características tradicionales de infección de virus y la mentalidad del usuario de lidiar con problemas de virus. No solo logra las características de los "tres noes": sin archivos ni elementos de inicio del sistema. Sin archivos, no hay elementos de inicio del sistema ni módulos de proceso. Incluso si el usuario reinstala el sistema, el virus seguirá ingresando al nuevo sistema del usuario; Se puede decir que el virus "fantasma" es un virus que "hace época". Se puede decir que el virus "fantasma" es un virus informático con características que "hacen época". El software de seguridad falló y la velocidad de la computadora disminuyó significativamente. Los investigadores del Laboratorio de Seguridad Kingsoft descubrieron que el virus "fantasma" estaba incluido con algún maldito shareware y se instaló en la computadora. Actualmente, entre 20.000 y 30.000 computadoras se infectan cada día. torre. Después de que el virus "Ghost" invada, liberará el controlador para reescribir el MBR (Master Boot Record) del disco duro. Este controlador atacará muchos programas antivirus durante el proceso de inicio. Después de que el software antivirus falle, el AV tradicional. Se descargará el descargador de troyanos Terminator. El objetivo final es ganar dinero propagando troyanos para robar cuentas y robar la propiedad virtual de los usuarios. Después de ser envenenado, el fenómeno más intuitivo es que el software de seguridad no puede ejecutarse normalmente, la velocidad de la computadora obviamente se ralentiza y la página de inicio de IE cambia. El virus "fantasma", un virus técnico poco común originado en el extranjero, es un virus técnico poco común en los últimos años. El autor del virus tiene excelentes habilidades de programación. Debido a las limitaciones del sistema WinXP, el sistema considerará ilegal el método general de reescribir el MBR. Este también es un factor importante por el cual los virus del sector de arranque están casi extintos. Esta tecnología de eludir las restricciones de seguridad de WinXP y reescribir directamente MBR circula principalmente en foros de tecnología extranjeros. Antes del virus "fantasma", había muy pocos casos en los que esta tecnología fuera utilizada por piratas informáticos a gran escala. Los ingenieros de Kingsoft Security Lab dijeron que el virus "fantasma" actualmente solo apunta a sistemas WinXP y que aún no puede dañar los sistemas Vista y Windows 7. Según los investigadores de Kingsoft Security Lab, entre los proveedores de seguridad nacionales actuales y los expertos antivirus privados, sólo unos pocos pueden analizar completamente el virus "fantasma".
¿Qué es el virus "fantasma"? ¿Cómo prevenirlo? Virus "Ghost Shadow" El 15 de marzo, Kingsoft Security Lab capturó un virus informático llamado "Ghost Shadow", que parasita el registro de arranque maestro (MBR) del disco, incluso al formatear el sistema y la reinstalación no puede borrarlo. Cuando el sistema se reinicia nuevamente, el virus se carga antes que el kernel del sistema operativo. Cuando el virus se ejecuta correctamente, durante este proceso, no se pueden encontrar complementos anormales cuando se inicia el sistema y el virus se convierte en un "fantasma" que envenena la computadora como un "fantasma". El virus "fantasma" también se convirtió en el primer virus descargador de "zona de arranque" en China. Características del virus fantasma: reinstalar el sistema no puede detectarlo ni eliminarlo. En el pasado, a menudo escuché a los internautas decir que no importa si estás infectado, siempre y cuando reinstales el sistema. Pero ahora, esta frase pasará a la historia. El 15 de marzo, Kingsoft Security Lab capturó un virus informático llamado "Ghost Shadow". El virus es un parásito en el registro de arranque maestro del disco (MBR). Incluso si el sistema se formatea y se reinstala, el virus no se puede eliminar. Cuando el sistema se reinicie nuevamente, el virus se cargará antes que el kernel del sistema operativo. Una vez que el virus se ejecuta correctamente, no se encuentran anomalías en el proceso ni en los complementos de inicio del sistema, y el virus "desaparece sin dejar rastro" en la computadora infectada como un "fantasma". Subvirtiendo la tradición de reinstalar el sistema y no poder eliminarlo, los expertos de Kingsoft Security Anti-Virus dijeron: "Los virus informáticos generales son aplicaciones bajo el sistema Windows y se ejecutan después de cargar Windows. El código principal del virus "fantasma" es parásito en el registro de arranque maestro del disco duro (MBR), el programa central del sistema se carga directamente en la memoria de la computadora antes de que se inicie la computadora. Para los virus que ya son parásitos en el MBR, el software de seguridad no puede interceptarlos porque el virus se inicia antes que el de seguridad. software "El virus es el primer virus de descarga de área de arranque en China. Subvierte las características tradicionales de infección de virus y la mentalidad del usuario de lidiar con problemas de virus. No solo logra las características de los "tres noes": sin archivos ni elementos de inicio del sistema. Sin archivos, no hay elementos de inicio del sistema ni módulos de proceso. Incluso si el usuario reinstala el sistema, el virus seguirá ingresando al nuevo sistema del usuario; Se puede decir que el virus "fantasma" es un virus que "hace época". Se puede decir que el virus "fantasma" es un virus informático con características que "hacen época". El software de seguridad falló y la velocidad de la computadora disminuyó significativamente. Los investigadores del Laboratorio de Seguridad Kingsoft descubrieron que el virus "fantasma" estaba incluido con algún maldito shareware y se instaló en la computadora. Actualmente, entre 20.000 y 30.000 computadoras se infectan cada día. torre. Después de que el virus "Ghost" invada, liberará el controlador para reescribir el MBR (Master Boot Record) del disco duro. Este controlador atacará muchos programas antivirus durante el proceso de inicio. Después de que el software antivirus falle, el AV tradicional. Se descargará el descargador de troyanos Terminator. El objetivo final es ganar dinero propagando troyanos para robar cuentas y robar la propiedad virtual de los usuarios. Después de ser envenenado, el fenómeno más intuitivo es que el software de seguridad no puede ejecutarse normalmente, la velocidad de la computadora obviamente se ralentiza y la página de inicio de IE cambia. El virus "fantasma", un virus técnico poco común originado en el extranjero, es un virus técnico poco común en los últimos años. El autor del virus tiene excelentes habilidades de programación. Debido a las limitaciones del sistema WinXP, el sistema considerará ilegal el método general de reescribir el MBR. Este también es un factor importante por el cual los virus del sector de arranque están casi extintos. Esta tecnología de eludir las restricciones de seguridad de WinXP y reescribir directamente MBR circula principalmente en foros de tecnología extranjeros. Antes del virus "fantasma", había muy pocos casos en los que esta tecnología fuera utilizada por piratas informáticos a gran escala. Los ingenieros de Kingsoft Security Lab dijeron que el virus "fantasma" actualmente solo apunta a sistemas WinXP y que aún no puede dañar los sistemas Vista y Windows 7. Según los investigadores de Kingsoft Security Lab, entre los proveedores de seguridad nacionales actuales y los expertos antivirus privados, sólo unos pocos pueden analizar completamente el virus "fantasma".
Dado que el virus es un parásito del registro de arranque maestro (MBR) del disco duro, el controlador liberado por el virus puede destruir la mayoría de las herramientas de seguridad y las herramientas auxiliares del sistema. En caso de envenenamiento, es difícil utilizar las herramientas existentes para eliminarlo. virus Kingsoft El laboratorio de seguridad está preparando una herramienta para eliminar virus "fantasma". Kingsoft Antivirus se ha actualizado para detectar y eliminar el archivo principal del virus "fantasma" para evitar que más usuarios resulten dañados por el virus "fantasma". Los usuarios solo necesitan actualizar en línea para obtener las capacidades de defensa correspondientes. Kingsoft Network Shield ha agregado las páginas web maliciosas que propagan el virus a la lista de acceso bloqueado para evitar que más usuarios descarguen el misterioso virus "fantasma". Informe de análisis de virus "fantasma" 1. Introducción Una vez que un virus ingresa a la computadora, es como un demonio que se esconde fuera del sistema. No tiene archivos, elementos de inicio del sistema ni módulos de proceso. Se ejecuta antes que el sistema y finaliza. todo el software antivirus Descargar av Hay una gran cantidad de variedades de virus, como terminadores, troyanos y modificaciones de la página de inicio de IE. Lo más importante es que reinstalar el sistema no puede eliminar los virus y también puede evitar que se produzcan. remoto. 2. Comportamientos específicos 1. El virus se disfraza de software gratuito y engaña a los usuarios para que lo descarguen e instalen. El archivo de virus contiene 3 partes de archivos: A. El software original para compartir normal. B. Virus "fantasma", modifique el área de inicio del sistema (mbr), finalice el antisoftware y descargue el virus AV Terminator. C. Agrupe la manipulación de la página de inicio de IE, modifique la página de inicio del navegador del usuario y agregue accesos directos redundantes al escritorio. 2. Después de ejecutar el virus "fantasma", se liberarán y cargarán dos controladores en la computadora del usuario. 3. El controlador modificará el área de inicio del sistema (mbr) y escribirá la unidad b en el disco para garantizar que el virus se inicie antes que el sistema y guarde los archivos de virus fuera del sistema. Después de ingresar al sistema de esta manera, el virus se carga en la memoria, pero no se pueden encontrar elementos de inicio, archivos de virus o módulos de proceso en el proceso. 4. El cuerpo madre del virus se elimina a sí mismo. 5. Reinicie el sistema. Hay código malicioso en el área de inicio. Se monitoreará el proceso de inicio de todo el sistema Windows. Se descubre que el sistema carga el archivo ntldr e inserta el código malicioso para que se cargue en el b. unidad escrita en el quinto sector del área de arranque. 6. Una vez cargado el controlador b, monitoreará todos los procesos en el módulo del sistema. Si hay un proceso de software de seguridad, se finalizará directamente. 7. El controlador b descargará el terminador av a la computadora y lo ejecutará. 8. AV Terminator modificará los archivos del sistema, agregará una gran cantidad de imágenes para secuestrar procesos de software de seguridad y descargará una gran cantidad de caballos de Troya para robar cuentas. Robar aún más la propiedad virtual del usuario. 3. Conclusión El virus "fantasma" es el primer virus de descarga del área de arranque. Supera a los virus de descarga y al virus de área de arranque tradicionales. No sólo logra estas tres características, sino que incluso si el usuario reinstala el sistema, aparecerá como el método fantasma. -ingresa al nuevo sistema del usuario, rompiendo la autoprotección del software antivirus en un nuevo método de terminal. El virus "fantasma" es un virus que hace época. Introducción al registro de arranque maestro del disco (MBR): MBR (Master Boot Record), que significa registro de arranque maestro en chino después de encender la computadora y realizar la autoprueba de la placa base. Cuando se completa, primero se lee la ubicación del disco. El primer sector de la pista 0 del disco duro se llama MBR. Su tamaño es de 512 bytes. No pertenece a ningún sistema operativo. leer En la era de DOS, los virus del sector de arranque eran rampantes. Más parasitismo aquí Introducción al proceso de inicio del sistema informático: encienda la alimentación para la autoprueba de encendido: el BIOS de la placa base lee el registro de arranque maestro (MBR). disquete, disco duro o unidad óptica de acuerdo con la secuencia de inicio especificada por el usuario, y luego lee el registro de inicio maestro (MBR) en la memoria, el control se transfiere al programa de inicio principal, que verifica el estado de la tabla de particiones del activo. Finalmente, el programa de arranque principal transfiere el control al registro de arranque de la partición activa, que carga el sistema operativo.