Ahora, el virus "fantasma" se acerca ferozmente, ¿cómo deberíamos lidiar con él los novatos?
El 15 de marzo, Kingsoft Security Lab capturó un virus informático llamado "Ghost Shadow", que parasitaba el registro de arranque maestro (MBR) del disco. reinstale el sistema después de formatear, no se puede borrar. Cuando el sistema se reinicia nuevamente, el virus se carga antes que el kernel del sistema operativo. Cuando el virus se ejecuta correctamente, durante este proceso, no se pueden encontrar complementos anormales cuando se inicia el sistema y el virus se convierte en un "fantasma" que envenena la computadora como un "fantasma". El virus "fantasma" también se ha convertido en el primer virus de descarga de "zona de arranque" en China.
Las características del virus "fantasma": no se puede eliminar reinstalando el sistema
En el pasado, escuché a menudo a los internautas decir que no importa si están infectados, lo peor es reinstalar el sistema, pero ahora, esta frase pasará a la historia. El 15 de marzo, Kingsoft Security Laboratory capturó un virus informático llamado. "Ghost Shadow", que se almacenó en el disco host en el registro de inicio (MBR), incluso si el sistema se formatea y se reinstala, el virus no se puede eliminar. Cuando el sistema se reinicia nuevamente, el virus se cargará antes que el. kernel del sistema operativo
No se puede eliminar incluso si se reinstala el sistema
Los expertos de Kingsoft Security Anti-Virus dijeron: "Los virus informáticos generales son aplicaciones en los sistemas Windows y se cargan antes. Windows se ejecuta. El código principal del virus "Ghost" se almacena en el registro de arranque maestro (MBR) del disco duro y el programa central del sistema se carga directamente en la memoria de la computadora para su funcionamiento antes de que se inicie la computadora. El software de seguridad no puede interceptar virus que ya sean parásitos en el MBR.
Li Junjun dijo: "Ahora podemos usar algún software avanzado para interceptar virus".
Li Junjun dijo: "Podemos usar algún software avanzado para interceptar virus". >
Li Tiejun dijo que el virus "Ghost Shadow" es el primer virus de descarga del área de arranque en China, que subvierte las características de infección de los virus tradicionales y los patrones de pensamiento de los usuarios al lidiar con los problemas de virus. No solo logra los "tres". características "noes": ni archivos, ni elementos de inicio del sistema, ni módulos de proceso, e incluso si el usuario reinstala el sistema, el virus seguirá ingresando al nuevo sistema del usuario; la nueva tecnología de virus rompe la autoprotección de software antivirus ordinario, y se puede decir que el virus "fantasma" es una especie de virus "que hace época". Una nueva tecnología de virus que rompe la autoprotección del software antivirus ordinario. Se puede decir que el virus es un virus informático con características "que hacen época".
Métodos de prevención y tratamiento:
Introducción al Disk Master Boot Record (MBR): <. /p>
MBR (Master Boot Record), que significa registro de arranque maestro en chino. Después de encender la computadora, se completa la autoprueba de la placa base. Primero lea la ubicación del disco. se llama MBR y tiene un tamaño de 512 bytes. No pertenece a ningún sistema operativo y no se puede leer mediante los comandos de operación del disco proporcionados por el sistema operativo. Los virus del sector de arranque inundado a menudo parasitan aquí. al proceso de inicio del sistema informático:
Conecte la fuente de alimentación para realizar la autoprueba de inicio: el BIOS de la placa base se inicia desde la secuencia de inicio especificada por el usuario. Se inicia el disquete, el disco duro o la unidad óptica. - el BIOS del sistema lee el registro de arranque maestro (MBR) y lo almacena en la memoria. Luego entrega el control al programa de arranque principal, que verifica el estado de la tabla de particiones de la partición activa. transferido al registro de arranque de la partición activa, que carga el sistema operativo.
Método de eliminación del virus fantasma:
En la era WINDOWS, este método no era común porque no podía serlo. hecho -ya en 1998, CIH les dijo a los creadores de virus cómo usar la tecnología de controladores para eludir los mecanismos de protección centrales de Windows-, sino porque hacerlo requeriría una gran inversión.
DOS tiene muy pocos elementos de inicio automático. Si un virus quiere iniciarse solo, además de los archivos parásitos, solo puede confiar en MBR. Sin embargo, WINDOWS tiene demasiados elementos de inicio automático. Generalmente, los usuarios solo necesitan modificarlo. el registro y no podrán saber que el virus se ha iniciado, por lo que nadie escribe un controlador únicamente para el inicio automático, es puramente ingrato. De hecho, a partir de este punto se puede ver que el umbral técnico para escribir virus troyanos en WINDOWS es menor que en DOS.
Sin embargo, el autor de este virus todavía es un poco creativo: insertó el código principal del virus almacenado en el quinto sector del disco en el archivo ntldr, resolviendo así el problema de cargar su propio código en WINDOWS. Escribir una rutina de servicio de interrupción es mucho más sencillo. Esta idea también funciona bien con virus BIOS reales.
La solución a este virus es realmente muy simple, pero aun así quiero recordarte que el disco duro tiene datos valiosos y no tiene precio. No formatee el disco duro estúpidamente, porque esto tampoco reparará el MBR. ni MBR DBR DATA no se reescribirá en absoluto. El método más simple y claro es utilizar la función de reparación de instalación del disco que viene con el sistema Windows y mantener presionada la tecla R para ingresar a la plataforma de reparación. use la función de reparación de instalación de disco incorporada del sistema Windows, presione y mantenga presionada la tecla R para ingresar a la plataforma de reparación. El método más simple y claro es usar la función de reparación de disco que viene con el sistema Windows. Espere un momento, ingrese al símbolo del sistema, ingrese el nombre de la cuenta y la contraseña, luego ingrese Fixmbr en el símbolo del sistema, luego el sistema le preguntará si desea actualizar el registro de inicio maestro del MBR, seleccione Sí y luego ingrese Fixboot para reparar el inicio del área de inicio. , de modo que el área de inicio principal será Una vez reparado, el virus se eliminará naturalmente. Luego use el kit de herramientas WinPE para ingresar al sistema WinPE para verificar si hay virus y el problema se resolverá.