俗話說“十掛九毒”，游戲外掛捆綁病毒并不稀奇，稀奇的是竟然有病毒外掛“推銷”殺毒軟件。最近，一款名為“炫舞幻風(fēng)”的外掛就捆綁了鬼影變種病毒，玩家運(yùn)行外掛后，電腦會自動安裝金山毒霸和金山衛(wèi)士兩款軟件，而金山又無法將病毒查殺干凈。

原來，金山毒霸采用推廣分成模式，其推廣渠道每增加一個裝機(jī)量，就可以從金山收入0.4元的分成。之前不少下載站因此把頁面的“高速下載”按鈕指向金山毒霸，來賺錢軟件推廣費(fèi)，病毒制作者也從中嗅到商機(jī)，利用推廣殺毒軟件牟取利益。

反病毒論壇分析發(fā)現(xiàn)，鬼影變種會感染磁盤主引導(dǎo)記錄(MBR)，因此能比操作系統(tǒng)提前啟動，即使用戶重裝系統(tǒng)、格式化硬盤也無法將其清除。金山毒霸即便能檢測到鬼影變種，點(diǎn)擊清除后重啟電腦，病毒又會通過MBR惡意代碼重新感染系統(tǒng)。

根據(jù)小編實(shí)測，目前市面上主流安全軟件大多能防住鬼影變種。但如果用戶相信病毒外掛的提示而關(guān)閉了安全軟件，那只有下載使用專殺工具來徹底清除鬼影變種和MBR里的病毒代碼。這里推薦360系統(tǒng)急救箱和卡巴斯基TDSSKiller專殺工具，對于鬼影系列病毒的清除效果是比較好的。

鬼影變種病毒分析如下：

1、利用病毒外掛“炫舞幻風(fēng)”捆綁傳播：

2、在系統(tǒng)引導(dǎo)扇區(qū)植入病毒代碼：

3、創(chuàng)建C:Documents and SettingsAdministratorLocal SettingsTemp下載.exe，作為下載者在系統(tǒng)下載安裝金山毒霸和金山衛(wèi)士，安裝過程沒有提示：

4、病毒下載者內(nèi)含金山毒霸和金山衛(wèi)士的官網(wǎng)下載地址：

5、劫持IE瀏覽器目錄下的msimg32.dll，潛伏在IE進(jìn)程里運(yùn)行：