最新高危木马“鬼影2”现身
　　2011年首款高危木马“鬼影2”近日现身网络，电脑一旦中招就会明显变慢、无法打开安全软件、重装系统甚至格式化硬盘也无济于事，危害超过当年的“熊猫烧香”、“犇牛”等恶性木马下载器。360安全中心发现，“鬼影2”主要通过捆绑游戏外挂进行传播，对20余款热门网游实施盗号，保守估计该木马至少已攻击了10万台网民电脑。 　　经360安全中心分析，“鬼影2”木马主要威胁Windows XP系统用户。该木马之所以难以清除，原因在于它采用了三招“组合拳”：第一招，欺骗用户关闭安全软件，“否则就无法达到游戏外挂的透视效果”；第二招，暴力破坏被用户手动关闭的安全软件，使其无法正常工作，并阻止用户重新安装运行主流安全软件；第三招，感染电脑硬盘MBR（主引导记录），使用户无论是重装系统、还是格式化硬盘都无法彻底清除木马。 　　在整整一年前，专门感染MBR的“鬼影”木马已经出现，然而“鬼影2”比它的原型更为顽固。根据360安全专家石晓虹博士介绍，所有正规安全软件在发布时都带有数字签名，相当于安全软件的“身份证”。“鬼影2”木马恰恰利用了这一点，凡是带着“身份证”的正规安全软件一律阻止运行，包括国内外11家主流安全厂商的产品。 　　据介绍，“鬼影2”木马典型的中招症状包括：无法安装运行主流安全软件、电脑明显变慢、CF（穿越火线）等20余款热门游戏帐号被盗、任务管理器出现1.tmp等随机数字名称的可疑进程。
史上最强“鬼影3”现身网络
　　继“鬼影2”后，网络上又出现了超级顽固的病毒“鬼影3”（只感染Windows XP系统）　 　　鬼影3病毒的表现现象： 　　1、杀毒软件反复对beep.sys和c盘根目录下alg.exe报毒却无法清除； 　　2、浏览器首页被篡改为bubu888网址导航（也可能为其它网址导航）； 　　3、电脑桌面出现“免费电影”、“美女图片”等广告图标，不定期弹出广告网页。 　　4、 同时在后台下载安装多个互联网软件以赚取推广费。 　　5、 个别变种也会下载其它木马下载器和AV终结者病毒，中毒电脑可能出现游戏帐号被盗等安全风险。 　　“鬼影”病毒家族主要包括三代“鬼影”病毒，共同特征是感染电脑硬盘的主引导记录（MBR）。当受害电脑开机时，“鬼影”病毒家族会比Windows系统更早加载到内存中运行，从而使病毒获得系统控制权。无论重装系统或是格式化硬盘都无法清除病毒，鬼影3与鬼影1、鬼影2的区别在于它释放了一个恶意驱动作为“保镖”，用来禁止任何修复MBR的操作。对杀毒软件来说，不清除“保镖”驱动就无法修复MBR，不修复MBR又无法清除“保镖”驱动，从而陷入“鬼影3”怎么都杀不干净的死循环中。
鬼影3病毒传播渠道
　　1.通过某个视频专用播放器捆绑传播 　　2.通过网络游戏外挂捆绑病毒传播 　　3.通过“不良网站”提供的视频捆绑病毒 　　4.通过部份恶意游戏下载站下载的游戏困绑传播
编辑本段“鬼影3”专杀工具
　　格式化硬盘都删不掉的“鬼影”系列病毒又出现了。近日360安全中心捕获最新的“鬼影3”病毒后发现，该病毒采用非常顽固的方式强驻受害电脑，常规杀毒技术无法清理，甚至病毒作者似乎也认为“鬼影3”根本不可能被杀掉，并没有像前两代“鬼影”一样破坏杀毒软件。为此，360已紧急开发出专杀工具，提醒受害网民尽快安装使用。 　　360安全专家石晓虹博士介绍说，“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录（MBR），无论重装系统或是格式化硬盘都无法清除病毒。在查杀前两代“鬼影”时，不同厂商推出的专杀工具都会首先修复MBR，然后再全面扫描清除病毒残骸，然而这个方法在查杀“鬼影3”时却遇到了难题。 　　据分析，“鬼影3”病毒之所以非常顽固，原因在于它释放了一个恶意驱动作为“保镖”，用来禁止任何修复MBR的操作。对杀毒软件来说，不清除“保镖”驱动就无法修复MBR，不修复MBR又无法清除“保镖”驱动，从而陷入“鬼影3”怎么都杀不干净的死循环中。 　　不过，“鬼影3”病毒并非完全无药可解。360安全中心经过研究，已经找到了突破该病毒“保镖”驱动的办法，能够顺利修复MBR并彻底清除病毒。另外，如果网友电脑开启了360安全卫士，也可以在“鬼影3”感染电脑前就将其拦截，避免电脑遭受不必要的损失。 　　“鬼影3”病毒典型症状包括：篡改浏览器首页为bubu888网址导航、桌面出现“免费电影”、“美女图片”等广告图标、不定期弹出网页广告、杀毒软件反复扫出beep.sys和alg.exe文件却无法清除。如果符合上述情况，网友应立即访问360官网下载使用专杀工具。
鬼影3病毒查杀以及防御
　　1.建议网友的电脑开启了杀毒软件的监控防御，会在“鬼影3”运行之前就将其拦截，避免电脑遭受不必要的财产损失。
“鬼影”家族进化史
　　“鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染电脑硬盘的主引导记录（MBR）。当受害电脑开机时，“鬼影”病毒家族会比Windows系统更早加载到内存中运行，从而使病毒获得系统控制权。
　　新鬼影病毒主要通过假冒游戏外挂和电影播放器传播，其主要攻击目标是游戏玩家和在线看视频的网民。中毒后的主要表现是主页被锁定，杀毒软件反复报毒（因病毒母体会下载盗号木马）。即使格式化重装，这些现象依旧不能解决。 　　新鬼影病毒可以改写特定型号主板BIOS，这很容易让人联想到Windows 95时代流行的CIH病毒，当时有杀毒厂商称CIH病毒可以破坏硬件。中毒后的电脑将完全黑屏，不能启动。 　　新鬼影病毒的目的和CIH完全不同，CIH是以破坏系统为主，而新鬼影则是以赚钱为主，不会破坏系统，中毒电脑不会出现黑屏和分区受损。其主要目的是为导航站带流量，再下载更多木马或木马下载器，推广其他病毒或软件。 　　新鬼影病毒先判定当前系统主板BIOS是否为Award BIOS，然后再查找SMI端口，写入新的BIOS内容，其目的是保护硬盘MBR（主引导记录）被其他程序改写。这样就造成杀毒软件或一些磁盘编辑工具无法查看或编辑主板MBR信息，从而使病毒难以清除