以前聽說，一種惡意計算機代碼，可以破壞系統程序，占用空間，盜取賬號密碼。嚴重可以導致網絡、系統癱瘓。2010年3月15日，金山安全實驗室捕獲一種被命名為“鬼影”的電腦病毒，該病毒寄生在磁盤主引導記錄(MBR)，即使格式化重裝系統，也無法將該病毒清除。當系統再次重啟時，該病毒會早于操作系統內核先行加載。而當病毒成功運行后，在進程中、系統啟動加載項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。

　　安全軟件失效 電腦越來越慢

　　金山安全實驗室的研究人員分析發現，這個“鬼影”病毒是隨某些共享軟件捆綁安裝進入電腦的，目前的日感染電腦約2-3萬臺。“鬼影”病毒入侵后，會釋放驅動程序改寫硬盤MBR(主引導記錄)，驅動程序在開機過程中攻擊眾多殺毒軟件，令殺毒軟件失效，再下載傳統的AV終結者****下載器，最終目的依然是通過傳播盜號****，竊取用戶虛擬財產牟利。中毒后，最直觀的現象是安全軟件無法正常運行，電腦明顯變慢，IE主頁被改。

　　罕見技術型病毒 改寫MBR

　　“鬼影”病毒是近年來較為罕見的技術型病毒，病毒作者具有高超的編程技巧。因WinXP系統的限制，一般手法改寫MBR會被系統判定為非法，這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制，直接改寫MBR的技術主要在國外技術論壇傳播，在“鬼影”病毒之前，這一技術少有被****實際大規模利用的案例。金山安全實驗室工程師說，目前“鬼影”病毒只針對Winxp系統，該病毒尚不能破壞Vista和Windows 7系統。

　　另據金山安全實驗室研究人員透露，在目前國內安全廠商和民間反病毒高手中，能夠完整分析“鬼影”病毒的人屈指可數。因病毒寄生于硬盤的主引導記錄(MBR)，病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具，在已經中毒的情況下，很難使用現有工具完成病毒清除，金山安全實驗室正在編寫針對“鬼影”病毒的專殺工具。

　　金山毒霸已經升級，可查殺傳播“鬼影”病毒的母體文件，避免更多用戶受“鬼影”病毒之害，用戶只需要在線升級即可獲得相應防御能力。金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表，防止更多用戶下載這個神秘的“鬼影”病毒。

　　顛覆傳統 重新安裝系統也無法清除

　　金山安全反病毒專家表示，“一般的電腦病毒是Windows系統下的應用程序，在Windows加載之后才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導記錄(MBR),在電腦啟動過程中先于系統核心程序直接加載到電腦內存中運行。對于已經寄生于MBR中的病毒，安全軟件無法進行攔截。因病毒比安全軟件的啟動還要早。

　　李鐵軍表示，“鬼影”病毒是國內首個引導區下載者病毒，顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢，不僅做到了“三無”特性——無文件、無系統啟動項、無進程模塊，而且即使用戶重裝了系統，該病毒依然會再次進入用戶新系統;全新的病毒技術，突破了普通殺毒軟件的自保護，“鬼影”病毒可以說是一個具有“劃時代”特征的電腦病毒。