俗話說(shuō)“十掛九毒”，游戲外掛捆綁病毒并不稀奇，稀奇的是竟然有病毒外掛“推銷”殺毒軟件。最近，一款名為“炫舞幻風(fēng)”的外掛就捆綁了鬼影變種病毒，玩家運(yùn)行外掛后，電腦會(huì)自動(dòng)安裝金山毒霸和金山衛(wèi)士?jī)煽钴浖?，而金山又無(wú)法將病毒查殺干凈。

原來(lái)，金山毒霸采用推廣分成模式，其推廣渠道每增加一個(gè)裝機(jī)量，就可以從金山收入0.4元的分成。之前不少下載站因此把頁(yè)面的“高速下載”按鈕指向金山毒霸，來(lái)賺錢軟件推廣費(fèi)，病毒制作者也從中嗅到商機(jī)，利用推廣殺毒軟件牟取利益。

反病毒論壇分析發(fā)現(xiàn)，鬼影變種會(huì)感染磁盤主引導(dǎo)記錄(MBR)，因此能比操作系統(tǒng)提前啟動(dòng)，即使用戶重裝系統(tǒng)、格式化硬盤也無(wú)法將其清除。金山毒霸即便能檢測(cè)到鬼影變種，點(diǎn)擊清除后重啟電腦，病毒又會(huì)通過(guò)MBR惡意代碼重新感染系統(tǒng)。

根據(jù)小編實(shí)測(cè)，目前市面上主流安全軟件大多能防住鬼影變種。但如果用戶相信病毒外掛的提示而關(guān)閉了安全軟件，那只有下載使用專殺工具來(lái)徹底清除鬼影變種和MBR里的病毒代碼。這里推薦360系統(tǒng)急救箱和卡巴斯基TDSSKiller專殺工具，對(duì)于鬼影系列病毒的清除效果是比較好的。

鬼影變種病毒分析如下：

1、利用病毒外掛“炫舞幻風(fēng)”捆綁傳播：

2、在系統(tǒng)引導(dǎo)扇區(qū)植入病毒代碼：

3、創(chuàng)建C:Documents and SettingsAdministratorLocal SettingsTemp下載.exe，作為下載者在系統(tǒng)下載安裝金山毒霸和金山衛(wèi)士，安裝過(guò)程沒(méi)有提示：

4、病毒下載者內(nèi)含金山毒霸和金山衛(wèi)士的官網(wǎng)下載地址：

5、劫持IE瀏覽器目錄下的msimg32.dll，潛伏在IE進(jìn)程里運(yùn)行：