如何防范“鬼影”病毒?

日期: 2010-03-25 来源:TechTarget中国

  2010年3月15日,某实验室捕获一种新型的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。

  一路走来,冲击波、震荡波、QQ病毒、传奇木马、熊猫烧香、机器狗……遭遇过病毒攻击的人们依然还在为自己的损失叹息,感慨为何不“防患于未然”,面对“未然”的鬼影病毒又该如何“防患”?

  网络安全技术核心就是“攻”与“防”的技术,著名的《孙子兵法》中写到“知彼知己者,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆”。而解决问题,分析问题是必不可少的。

  鬼影病毒是什么?

  鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。

  鬼影病毒的危害

  网民说过:中毒了没关系,重装系统就OK。而现在这句话将成为历史。因该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒chedi清除。

  1、颠覆传统,重装系统无法清除

  业界反病毒专家表示,“一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。

  2、安全软件失效,电脑明显变慢

  “鬼影”病毒是随某些共享软件捆绑安装进入电脑的,“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。

  3、罕见技术型病毒

  “鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对WinXP系统,该病毒尚不能破坏Vista和Windows 7系统。

  如何拒之“鬼影”于门外

  通过研究发现,电脑在中毒之后,会向整个内网发送大量的ARP欺骗信息,严重威胁网民游戏账户信息的安全,而且极易导致网吧大面积的断网,极大影响了网吧的正常运营。

  对ARP病毒欺骗攻击,传统办法是增大路由器ARP信息主动广播的密度。为了减轻网络广播的压力,采用IPMAC地址双向绑定的方式进一步防御ARP病毒的攻击。

   “鬼影”病毒是近年来罕见的技术型病毒,它具有攻击包密集高、数量多的特点,这种攻击已经超过普通路由器的性能极限,很容易堵死路由器网络接口,造成全网掉线。因此,传统ARP防御方式无法阻挡“鬼影”。

  作为新型的网络设备厂商,飞鱼星科技在针对内网中高强度的攻击时,2008年年初就开始研发有针对性的产品,从而满足客户的需求,解决客户的问题。通过不断的研发和测试,于2009年下半年推出了最新的网络安全解决方案——防攻击安全联动系统(ASN)。

  该系统方案在针对网络攻击时,从软件防御升级为硬件防御。同时,把网络中各自为政的路由器和交换机联系起来,从物理层到应用层进行分层布控,打造安全、联动、高性能、易管理的网络系统。

  防攻击安全联动系统(ASN)能在每个网络接入端口管控用户行为,全面防范ARP攻击、DDoS攻击、机器狗等木马病毒,确保整个网络的安全稳定。同时控制合法用户合理使用网络资源,防止滥用带宽和网络资源;同时提供无盘启动、网络克隆的多种优化支持,全面提升网络性能。


 
图:飞鱼星防攻击安全联动系统(ASN)方案拓朴图

  该方案针对鬼影病毒防御的核心在于,中毒的电脑在疯狂的发送高密度和高强度的ARP欺骗攻击时,防攻击安全联动系统(ASN)中的路由器可在第一时间发现ARP欺骗攻击信息时,就将网络威胁通告交换机,交换机对中毒电脑实施基于物理端口的惩罚,把攻击扼杀于摇篮之中,从而避免网吧整网断网。

  据悉,在山东、四川、云南、重庆等区域的网吧中,发现鬼影病毒的泛滥,在使用了飞鱼星防攻击安全联动系统(ASN)都得到很好的解决,从发现到现在,尚处于萌芽时期,但日感染电脑约2-3万台,让网络再一次承受着强大的冲击,网吧、酒店、学校、企业等于网络密不可分的环境。是防患于未然,还是亡羊补牢,值得深思熟虑!

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 从鬼影病毒危害观网吧内网安全问题

    众所周知,病毒本身是危害系统软件的程序代码,本身不会直接对网络造成危害,但是病毒的传播以及病毒“发作”时利用感染主机对网络以攻击包的形式产生危害。

  • 飞鱼星ASN安全联动方案防御鬼影病毒

    鬼影病毒由于难于通过格式化重装系统来解决,被赋予了“阴魂不散”的名字。当前“鬼影”病毒主要通过网页挂马传播,据评估该病毒的日下载量大约为2-3万之间。

  • PPPoE上网 轻松防范网络ARP病毒

    目前,ARP病毒比较猖獗,严重影响了网络的正常运行,网上也出现了各种各样的应对措施,笔者结合实际情况,通过采用PPPOE方式上网,从根本上解决了ARP病毒带来的困扰。