病毒与“防毒”永远是一对矛盾体,是先有病毒还是先有“防毒”,鬼才知道答案。回头想想,不得不佩服这些“黑老大”的智慧与才能,从蠕虫到木马,再到这次的鬼影,黑客们的思路更明确更清晰,即,走在杀毒软件启动甚至是系统启动之前。
蠕虫病毒是利用网络进行复制和传播,传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。木马是有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。
“鬼影”病毒是近年来较为罕见的技术型病毒, 它不像病毒作者具有高超的编程技巧。因为Windows XP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Windows XP的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对Windows XP系统,该病毒尚不能破坏Vista和Windows 7系统。作为用户数据庞大的Windows XP操作系统来说,这个病毒的影响力已经不算小。
金山安全专家李铁军表示:“鬼影病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统;全新的病毒技术,突破了普通杀毒软件的自保护,“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。