Variantes de virus del virus fantasma

Aparece el último troyano de alto riesgo "Ghost 2"

El primer troyano de alto riesgo "Ghost 2" apareció en Internet en 2011. Una vez infectado el ordenador, obviamente se ralentiza y deja de funcionar Abrir el software de seguridad, reinstalar el sistema o incluso formatear el disco duro no ayudará, y el daño es mayor que el de los descargadores de troyanos maliciosos como "Panda Burning Incense" y "Running Bull". 360 Security Center descubrió que "Ghost 2" se propaga principalmente mediante paquetes de complementos de juegos y cuentas pirateadas de más de 20 juegos populares en línea. Se estima de manera conservadora que el troyano ha atacado al menos a 100.000 computadoras de usuarios de Internet.

Según el análisis de 360 ​​Security Center, el troyano "Ghost 2" amenaza principalmente a los usuarios del sistema Windows XP. La razón por la que este troyano es difícil de eliminar es que utiliza tres "golpes combinados": el primer truco consiste en engañar al usuario para que cierre el software de seguridad; "de lo contrario, no se podrá lograr el efecto de perspectiva del complemento del juego"; el segundo truco es destruirlo violentamente manualmente por parte del usuario. El software de seguridad cerrado evita que el usuario reinstale y ejecute el software de seguridad convencional. El tercer método es infectar el MBR (Master Boot Record) del disco duro de la computadora, evitando que el usuario lo haga por completo; reinstalar el sistema o formatear el disco duro.

Ha aparecido el troyano "Ghost" que infecta específicamente a MBR, pero "Ghost 2" es más testarudo que su prototipo. Según el Dr. Shi Xiaohong, experto en seguridad 360, todo el software de seguridad formal viene con una firma digital cuando se lanza, lo que equivale a la "tarjeta de identificación" del software de seguridad. El troyano "Ghost 2" se aprovecha de esto y bloquea la ejecución de todo el software de seguridad habitual con una "tarjeta de identificación", incluidos productos de 11 principales fabricantes de seguridad nacionales y extranjeros.

Según los informes, los síntomas típicos de una infección por el troyano "Ghost 2" incluyen: incapacidad para instalar y ejecutar software de seguridad convencional, la computadora se ralentiza significativamente, cuentas de más de 20 juegos populares como Cuando se roba CF (Crossfire), aparecen procesos sospechosos con nombres numéricos aleatorios como 1.tmp en el administrador de tareas.

Apareció en Internet el "Ghost 3" más poderoso de la historia

Después de "Ghost 2", apareció en Internet otro virus súper testarudo "Ghost 3" (solo infectando (Windows

2. La página de inicio del navegador ha sido manipulada para que sea la navegación del sitio web de bubu888 (también puede ser la navegación de otros sitios web);

3. Aparecen "imágenes de belleza" en el ícono del escritorio de la computadora y de vez en cuando aparecen páginas web publicitarias.

4. Descargue e instale varios programas de Internet en segundo plano al mismo tiempo para ganar tarifas de promoción.

5. Algunas variantes también descargarán otros descargadores troyanos y virus terminadores AV. Las computadoras infectadas pueden sufrir riesgos de seguridad, como el robo de cuentas de juegos.

La familia de virus "Ghost" incluye principalmente tres generaciones de virus "Ghost" No importa si se reinstala el sistema o se formatea el disco duro, el virus no se puede eliminar. La diferencia entre Ghost 3, Ghost 1 y Ghost. 2 es que libera un controlador malicioso a modo de "guardaespaldas" que desactiva cualquier intento de reparar el MBR. Para el software antivirus, es imposible reparar el MBR sin borrar el controlador "Bodyguard", y no puede borrar el controlador "Bodyguard" sin reparar el MBR, cayendo así en un bucle sin fin en el que "Phantom 3" no se puede eliminar. pase lo que pase.

Canales de transmisión de virus Phantom 3

1. Incluye un reproductor de vídeo dedicado

2. Incluye complementos de juegos en línea

3. El virus se incluye con vídeos proporcionados a través de "sitios web malos"

4. El virus se incluye con juegos descargados a través de algunos sitios de descarga de juegos maliciosos

"Ghost 3"

Ha vuelto a aparecer la serie de virus "fantasmas" que no se pueden eliminar incluso después de formatear el disco duro. Después de capturar el último virus "Ghost 3", un centro de seguridad descubrió que el virus utilizaba un método muy persistente para introducirse en la computadora de la víctima y que las técnicas antivirus convencionales no podían limpiarlo. Incluso el autor del virus parecía creer que " Ghost 3" era imposible de eliminar y no destruía el software antivirus como las dos generaciones anteriores de "ghosting". Con este fin, 360 ha desarrollado urgentemente una herramienta de eliminación especial para recordar a los internautas víctimas que la instalen y utilicen lo antes posible.

Según un conocido fabricante nacional de software antivirus, la característica más común de la serie de virus "Ghost" es que infectan el registro de arranque maestro (MBR) del disco duro de la computadora, independientemente de si se reinstala el sistema o se formatea el disco duro, tampoco se puede eliminar el virus. Al eliminar las dos primeras generaciones de "Ghost", las herramientas de eliminación especializadas lanzadas por diferentes fabricantes primero reparaban el MBR y luego escaneaban y eliminaban exhaustivamente los restos del virus. Sin embargo, este método encontró dificultades al eliminar "Ghost 3".

Sin embargo, el virus "Ghost 3" no es completamente incurable. Después de una investigación, un centro de seguridad encontró una manera de romper el controlador "guardaespaldas" del virus, lo que puede reparar con éxito el MBR y eliminar completamente el virus. Además, si los internautas tienen activado Baidu Guard en sus computadoras, también pueden interceptar "Ghost 3" antes de que infecte sus computadoras para evitar pérdidas innecesarias en sus computadoras.

Los síntomas típicos del virus "Ghost 3" incluyen: manipulación de la página de inicio del navegador para navegar al sitio web bubu888, iconos publicitarios como "películas gratis" e "imágenes de belleza" que aparecen en el escritorio, página web anuncios que aparecen de vez en cuando y software antivirus repetidamente. Escaneé los archivos beep.sys y alg.exe pero no pude borrarlos. Si se cumple la situación anterior, los internautas deben visitar inmediatamente el sitio web oficial de 360 ​​para descargar y utilizar la herramienta especial de eliminación.

Detección y defensa del virus Ghost 3

1. Se recomienda que los internautas activen el monitoreo y la defensa del software antivirus en sus computadoras, que interceptará "Ghost 3" antes. se ejecuta. Evite daños innecesarios a la propiedad de su computadora.

Historia Evolutiva de la Familia "Ghost"

La familia de virus "Ghost" incluye principalmente tres generaciones de virus "Ghost" y la rama "Phantom", que tienen la misma característica de Infectar los discos duros de las computadoras. El registro de arranque maestro (MBR). Cuando se enciende la computadora víctima, la familia de virus "fantasma" se cargará en la memoria y se ejecutará antes que el sistema Windows, lo que permitirá que el virus obtenga el control del sistema.

El nuevo virus fantasma se propaga principalmente a través de complementos de juegos y reproductores de películas falsos. Sus principales objetivos son los jugadores y los internautas que ven vídeos en línea. Los síntomas principales después del envenenamiento son que la página de inicio está bloqueada y el software antivirus informa repetidamente sobre los virus (porque el cuerpo madre del virus descargará el troyano que roba cuentas). Incluso si formatea y reinstala, estos fenómenos aún no se pueden resolver.

El nuevo virus fantasma puede reescribir el BIOS de modelos específicos de placas base, lo que recuerda fácilmente al virus CIH que era popular en la era de Windows 95. En ese momento, algunos fabricantes de antivirus afirmaban que el CIH. El virus podría dañar el hardware. La computadora infectada tendrá una pantalla completamente negra y no podrá iniciarse.

El propósito del nuevo virus fantasma es completamente diferente al de CIH. Es principalmente destruir el sistema, mientras que el nuevo virus fantasma es principalmente ganar dinero y no destruirá la computadora infectada. no tendrá una pantalla negra ni una partición dañada. Su objetivo principal es atraer tráfico a la estación de navegación, descargar más troyanos o descargadores de troyanos y promover otros virus o software.

El nuevo virus fantasma primero determina si el BIOS de la placa base del sistema actual es un BIOS Award, luego busca el puerto SMI y escribe nuevo contenido del BIOS. Su propósito es proteger el MBR (Master Boot Record) del disco duro. de ser reescrito por otros programas. Esto hace imposible que el software antivirus o algunas herramientas de edición de disco vean o editen la información del MBR de la placa base, lo que dificulta la eliminación del virus.

Detección y defensa de virus Virus 6

En agosto de 2012 salió Ghost 6.

Características:

1: Hay 3 4 más skype.exe, qq.exe, my_705file.exe, my_Xcode.exe, etc. en C:\Program Files\Internet Directorio del explorador Archivos de virus. También hay muchos archivos .exe en el directorio temporal. Estos archivos se pueden eliminar manualmente, pero aparecen después de reiniciar.

2: 360 Security Guard, Kingsoft Guard, QQ Manager y el software antivirus no pueden. ser iniciado.

3: La computadora es muy lenta después de iniciarse. Hay un skype.exe en el proceso. Después de finalizar este proceso, la computadora será un poco más rápida en cinco o seis minutos.

Solución:

Cualquier software antivirus es inútil, 360 Safe y Kingsoft Ghost Kill no son válidos. Si el sistema es Windows 2003, 360 Safe dañará accidentalmente el sistema, provocando el error. el sistema falle. GHOST, reinstalar el sistema, formatear el disco e incluso particionar no pueden resolver este problema.

Método: cree un disco U o CD de arranque PE con Diskgen (si no sabe cómo hacerlo, búsquelo en Baidu. No es difícil). Si es un disco U, úselo. el disco U para iniciar la computadora (No, no puede. Baidu (o llame al fabricante de la placa base de su computadora), ingrese al sistema PE, abra Diskgen, seleccione su disco duro, haga clic en Reconstruir MBR, luego guarde, salga y reinicie. la computadora. (Tenga en cuenta que no se apresure a ingresar al sistema en este momento). En este momento, el virus en el área de inicio se ha eliminado, pero el virus en el sistema no se ha eliminado. En este momento, puede formatear la unidad C. , luego reinstale el sistema o directamente GHOST restaure la placa C. Cuando se instala el sistema, quizás GHOST se restaure y el virus se elimine por completo.