簡介
新鬼影病毒的主要特征是瘋狂彈廣告窗口,重裝系統也沒有用,另外兩個alg.exe,其中一個是Windows的程序。
alg.exe是微軟Windows操作系統自帶的程序,它用于處理微軟Windows網絡連接共享和網絡連接防火牆。這個程序對系統的正常運行是非常重要的。
另外一個是病毒釋放的程序,僞裝成系統進程,其主要特點是:
1、C:windowsalg.exe注冊為系統服務,實現啟動加載。
2、C:windowsalg.exe控制winlogon.exe進程。因此,在Windows下無法終止C:windowsalg.exe進程。
中了alg.exe病毒之後,它會通過135、445等好幾個端口向外通信,對所在的局域網造成影響,而且經常會導緻系統報錯并重啟。由于它會調用winlogon.exe進程,故無法直接關閉alg.exe進程。
3、病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法将病毒清除出去,所以會出現重裝也沒用的現象。
傳播手段
該病毒大多是捆綁在一些輔助類軟件上,然後進行感染擴散,會在QQ群共享裡發布一些如“刷鑽小助手V1.3(永久免費,無需手機、寬帶)”或者“QQ空間偷窺大師V2.3(無需密碼進入空間查看照片)”或者“緯地道路設計軟件”等壓縮包,隻要下載這些後,就會被感染。
解決方案
經過深入分析,因病毒利用到MBR,導緻重裝系統無效,所以我們将其識為鬼影病毒新變種,需要采用金山安全的鬼影專殺工具進行查殺。
東方微點主動防禦軟件可以正确識别并攔截新鬼影病毒,建議尚未中毒的朋友安裝東方微點主動防禦軟件,防患于未然。
經過多次反複實踐,如果感染太深,重做MBR,安裝微點也無法解決,重裝系統問題依然存在。,由于此病毒隻針對Winxp系統,尚不能破壞Vista和Win7系統,所以建議如果電腦配置可以的話,安裝Vista和Win7系統使用可以解決問題。(最新變種可以感染vista、win7、win8,但由于win8的安全保護措施,無法在注入病毒驅動程序,無法修改MBR,故在win8上與普通病毒無異)
殺毒工具
“主頁被鬼影病毒鎖定之後,用一般的修改方法無法編輯。金山毒霸安全中心發現,該鬼影病毒每天感染約3萬台計算機。這個鬼影病毒變種還會刻意避免在安全專業人士的電腦上安裝,如果病毒判斷這台計算機并非安全專業人士在使用,才會立刻釋放驅動程序,感染硬盤主引導記錄。由于硬盤主引導記錄并不能在簡單的格式化重裝時被改寫,用戶重裝系統都不能解決。金山毒霸安全專家建議用戶下載金山鬼影病毒專殺工具或者使用金山毒霸強力查殺來解決這個病毒。
