此前所见“鬼影”都不能感染WINDOWS 7。今天见到的这个样本可能比较新吧，可以感染WINDOWS 7系统。


一、中毒所见：

0、用户可见的中毒现象：即使未打开IE，进程列表中仍可见N个IE进程。

1、中此毒后，SRENG日志可见下列异常：

[PID: 1968 / Lenovo][C:\Users\Lenovo\AppData\Local\Temp\ie.exe]  [N/A, ]
进程特权扫描
特殊特权被允许： SeDebugPrivilege [PID = 1968, C:\USERS\LENOVO\APPDATA\LOCAL\TEMP\IE.EXE]

2、用工具查看MBR， MBR被改写为：




此外，MBR之后的0面0道约30个扇区也被此毒写入恶意代码。

3、用Xuetr可发现此病毒劫持替换内核模块文件C:\Windows\system32\DRIVERS\USBPORT.SYS

4、此毒添加下列注册表项：
[HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE http://10379.new93.com/index.htm?id=3112"

将IE主页劫持为http://10379.new93.com/index.htm?id=3112


二、手工杀毒：

1、断网。结束所有IE进程。
2、结束病毒进程Vanknc.tmp
3、删除病毒文件：

4、用工具（如BOOTICE）将MBR改写为正常

5、用工具（如SECTOREDITOR）将硬盘0面0道2至61扇区填0。

6、用金山卫士清理注册表。病毒写入的注册表内容多而杂，手工收拾比较费劲。

用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.8.131 Version/11.10

说实在的，“鬼影”这东西和TDSS 根本就不能同日而语。在引导区病毒中，鬼影只能算垃圾级别。

粗略的判断，可以用 XueTr查看MBR是否正常。




病毒改写过的MBR：







正常的MBR：







比较详细的查看MBR，可以用BOOTICE或SECTOREDITOR等工具。


一般而言，除了预装正版系统或自己装的零售版系统外，0面0道的2－61扇区均为空（用SECTOREDITOR查看这些扇区数据————均为0）。


预装正版系统或自己装的零售版系统：0面0道的2－61扇区中，有1－3个扇区有系统或硬盘识别信息。具体在那个扇区，不同的电脑有所不同。


举例：我的电脑安装了WIN7 零售版，0面0道56扇区有硬盘识别码（见下图，黑块遮蔽部分）。

http://bbs.ikaka.com/showtopic-8949341.aspx

http://bbs.ikaka.com/showtopic-8953490.aspx

http://bbs.ikaka.com/showtopic-8961286.aspx