国内首个“引导区”下载者病毒惊现，网络安全触发警报！

扩展阅读

2010年3月15日，金山安全实验室捕获一种新型的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如"鬼影"一般"阴魂不散"，所以称为"鬼影"病毒。该病毒也因此成为国内首个"引导区"下载者病毒。

鬼影病毒是指寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法清除的病毒。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒,病毒就象"鬼影"一样在中毒电脑上"阴魂不散"。

“鬼影”病毒的特征之一是安全软件不能正常运行，该病毒目前的累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙不能正常运行，常见的修复工具也不能正常运行，请尝试使用金山安全中心发布的“鬼影”病毒专杀工具检查修复。2010年，此工具适用于尚未变种的鬼影病毒，一旦该病毒变种，该专杀将会无效，在这里要提醒大家要注意上网时的网络防护，要定期开启杀软扫描，2010年，金山毒霸已能够杀灭鬼影母体。“鬼影”病毒传播的广度分析金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。

扩展阅读：

千年虫，又称2000年虫或Y2K，是计算机系统编码中的一个问题，预计2000年初将对全世界的计算机和计算机网络造成严重破坏（按度量单位，k代表1000）。经过一年多的国际警报、狂热的准备和程序修改，从1999年12月31日到2000年1月1日的过渡期间几乎没有发生重大故障。

在20世纪90年代，许多计算机程序(特别是那些在计算机早期编写的程序)被设计成将四位数的年份缩写为两位数，以节省存储空间。这些计算机可以将“98”识别为“1998”，但不能将“00”识别为“2000”，或许可以将其解释为1900。很多人担心，当2000年1月1日午夜钟声敲响时，很多受影响的电脑会采用错误的日期，以致无法正常运作，除非在该日期前修理或更换电脑软件，其他测算预算或债务的计算机程序可能会在1999年开始出现故障。此外，一些计算机软件没有考虑到2000年是闰年。甚至在2000年黎明之前，人们就担心一些计算机可能会在1999年9月9日(9/9/99)出现故障，因为早期的程序员经常使用一系列的9来表示程序的结束。

有人担心，这样的误读会导致银行、公用事业系统、政府记录等重要领域使用的计算机出现软件和硬件故障，并有可能在2000年1月1日及之后出现大范围的混乱。大型计算机，包括那些用于经营保险公司和银行的计算机，被认为会是受到千年虫问题影响最严重的地方，但即使是使用台式计算机网络的较新系统也被认为是无法避免的。

不过，电脑公元2000年等的数位问题并不局限于运行传统软件的电脑。许多包含计算机芯片的设备，从电梯到商业建筑的温度控制系统，再到医疗设备，都被认为存在风险，这就需要检查这些“嵌入式系统”对日历日期的敏感度。

在美国，企业和政府的技术团队正在马不停蹄的工作着，目的是在1999年12月底之前检查系统和修复软件。尽管一些行业在解决千年虫问题的道路上进展顺利，但大多数专家担心，联邦政府、州政府和地方政府赶不上进度。纽约计算机行业咨询公司Cap gemini America于1998年底委托进行的一项千年虫防备调查显示，在美国研究的13个经济部门中，政府对千年虫防备的准备程度最低。（其中软件行业的准备程度最高）

这次估计花费了3000亿美元（几乎一半在美国）来升级计算机和应用程序，使其符合千年虫标准。随着2000年1月1日的曙光初现，计算机系统显然完好无损，新闻媒体上充斥着救灾的报道。紧接着，有人指责，从一开始，失败的可能性就被大大夸大了。那些参与过千年虫问题合规工作的人坚持认为，威胁是真实的。他们坚持认为，计算机系统的持续可行性证明了集体努力取得了成功。在此数年后，一些分析家指出，电脑程式升级是电脑公元2000年数位问题修复运动的一部分，程序的升级已经改善了计算机系统，在今后一段时间内，人们将继续看到这些改进带来的好处。

1988年，随着软件交流，石头和小球病毒跟随软盘悄悄地通过中国香港和美国进入了中国内地，并在人们的懵懂之间在大型企业和研究所间广为传播。小球病毒是国内发现的第一个计算机病毒。

发作条件是当系统时钟处于半点或整点，而系统又在进行读盘操作。发作时屏幕出现一个活蹦乱跳的小圆点，作斜线运动，当碰到屏幕边沿或者文字就立刻反弹，碰到的文字，英文会被整个削去，中文会被半个或整个削去，也可能留下制表符乱码。其规律是，ASCII码字符后3位为3(011)的，发生行反射；后3位为5(101)的，发生列反射，其它字符不改变小球运动方向。后期经过一些好事者的改造，小球病毒的变种运动的规律开始逐渐复杂化。

扩展阅读

Nimda是微软Windows上的一个蠕虫，也是第一个能够在用户甚至不使用该蠕虫打开电子邮件的情况下自行运行的蠕虫。它也是第一个修改网站以提供自己的副本供下载的网站。它还有一个感染可执行文件的病毒组件。这是迄今为止发现的最具破坏性的蠕虫之一。

Nimda worm于2001年9月中旬首次在互联网上造成了严重破坏，并以电子邮件附件的形式传播开来。它还通过网络上的共享硬盘和感染浏览受感染服务器上托管的网页的用户进行移动。当以电子邮件的形式传播时，Nimda以名为“Readme.exe” 的文件隐藏自身。

但是，当Nimda文件通过受感染的网页传播时，通常会在提示下自动下载到用户的计算机上。最初的worm virus在大约30分钟内传播到世界各地，导致一些公司禁止用户在线，直到补丁和升级到位。

根据反病毒公司Kasperksy Labs发布的警报，Nimda在11月之前已经产生了三种变种：“Nimda.b”、“Nimda.c”和“Nimda.d”，不过没有一种特别危险，也没有一种与原来的不同。

然而，最新版本“Nimda.e”是original worm的重新编译版本，Kaspersky和TruSecure恶意代码技术总监Roger Thompson都这么认为。Roger Thompson在世界范围内经营着一个由“worm catcher”系统组成的网络，这个网络发现了第一个Nimda worm，尽管迄今为止只有一个worm catcher受到了这种new worm的攻击。

Thompson说，新的变种是一个重新编译的版本，这表明原作者已经对worm进行了修改并重新发布了它。Thompson还没有完全分析新的变种，但他确实注意到一些变化，他说：““Readme.exe”文件现在已更改为“sample.exe”，worm现在下载名为“cool.dll”和“httpodbc.dll”而之前它只获取“admin.dll”，代码中的一些子例程也被修改了，尽管这样做的效果还不清楚”。

Nimda最初是使用电子邮件和Web过滤器、防病毒更新和对微软IE（Internet Explorer）Web浏览器的更新的组合进行攻击的，该浏览器被用来自动下载worm virus。由于此最新版本中的文件名已更改，管理员将不得不更改正在筛选的文件名，但最好是阻止所有.exe。汤普森他还提醒用户升级浏览器。

Thompson说，尽管目前的变种病毒“远未达到最初Nimda worm的传播速度”，但该worm很可能会通过攻击上次worm爆发后没有得到充分修补的电脑来获取新的worm。
他说：“我不认为有太多人修补了他们的浏览器，升级浏览器的用户应该是“相当安全的”，但他补充说，“如果他们上次通过更新anti-virus [software]击败了Nimda，那么他们仍然可能会受到攻击。”