CF新月外挂内置鬼影6病毒 过万玩家面临盗号风险(3)

图1：鬼影6下载器文件拓扑图（图片来源于金山毒霸）
由于鬼影6病毒具有非常强的免杀性，能绕过绝大多数主流杀毒软件的防御和查杀，恐将对国内用户造成比较大的损失。目前，金山毒霸是第一家掌握了该病毒原理、破坏规律的安全软件，金山毒霸独有的边界防御已经完美支持对此类样本的拦截防御。所以金山毒霸用户并不需要惊慌。
同时，金山毒霸安全实验室提醒广大网游玩家，养成良好的上网、下载习惯，千万不要在可疑、陌生站点进行下载，同时也不要下载任何未经验证的游戏第三方外挂、客户端等程序。
鬼影6病毒恶性行为分析：
1.隐藏端口驱动
的相关驱动文件，在上述第二点中提到的StartIO被替换成病毒例程后，如果想将其修复，其中的一个方法就是需要用到相关驱动的原始文件，而病毒将其隐藏，意图使相关修复失败，在此点上可以较明显的体现出病毒作者对root
kit对抗过程的了解。
2.不断回写StartIO 例程，即使有相关软件采用特殊方法将StartIO例程修复，病毒也会再次修改回去。
3.隐藏病毒内存
模块及文件模块，内存模块被隐藏到了内核模块的末尾处，而文件模块以扇区的形式隐藏于磁盘
末尾，而这些扇区也在上述病毒StartIO例程的保护范围内。（无文件）
4.阻止主流杀软、ark工具、专杀的运行，具有较强的AV特征。
5.由于该病毒是组合拳，鬼影6除了以上恶性行为外，还会下载大量盗号木马，盗取用户游戏钱财。
用户安全解决方案：
1、已安装金山毒霸用户
毒霸独有的边界防御已经完美支持对此类样本的拦截防御。所以用户不需要惊慌，但曾经使用过cf外挂、传奇私服且关闭过毒霸的用户，若出现电脑卡、运行缓慢、蓝屏等疑似鬼影6中毒现象的话，请使用金山顽固木马专杀。
金山毒霸2012(猎豹) SP5.0.071000下载地址：
http://www.duote.com/soft/42001.html
2、未安装金山毒霸的用户
请使用金山顽固病毒木马专杀进行查杀修复。修复查杀完毕后，再使用金山毒霸查杀残留木马病毒。
金山顽固病毒木马专杀下载地址：
http://cu003.www.duba.net/duba/tools/dubatools/usb/sysfixkill.exe

图2：金山顽固病毒木马专杀截图
（图片来源于金山毒霸）
鬼影病毒进化史：
鬼影1：感染mbr，无加密
。
鬼影2：加密感染mbr，并通过diskhook保护mbr。
鬼影3：感染beep.sys，挂钩StartIO保护mbr。
鬼影4：感染特定主板
bios，从而保护感染的mbr不被修复。
鬼影5：感染atapi ntfs驱动，反复回写保护mbr。
鬼影6：通过atapi ntfs startio 回写 av技术保护mbr不被修复，最大的亮点是无病毒文件对抗查杀。