Trojan.Mebratix曝新變種 瞞天過?!备腥疽龑?dǎo)區(qū)
【51CTO.com 綜合消息】Trojan.Mebratix家族是一個比較少見的、會侵入計算機(jī)磁盤引導(dǎo)區(qū)(Master Boot Record,MBR)的感染型病毒,危害性強(qiáng)且技術(shù)含量高。自2010年3月該病毒被***曝光后,近期賽門鐵克安全響應(yīng)中心又檢測到該家族的新變種—Trojan.Mebratix.B。
之前的Trojan.Mebratix病毒感染計算機(jī)后,會將主引導(dǎo)區(qū)的原代碼拷貝到下一個扇區(qū),并用惡意代碼替換原引導(dǎo)區(qū)的代碼。由此,該病毒便獲取了先于操作系統(tǒng)的啟動權(quán),而且一般的系統(tǒng)重裝無法徹底清除該病毒。
而新變種Trojan.Mebratix.B在感染計算機(jī)的同時,更大大提升了自身的隱蔽性。分析顯示,Trojan.Mebratix.B在感染系統(tǒng)主引導(dǎo)區(qū)以后,不會直接將惡意代碼放置到主引導(dǎo)扇區(qū),而是將其放置到主引導(dǎo)扇區(qū)之后的其他扇區(qū)。如下圖所示:
圖一 Trojan.Mebratix.B惡意代碼所在內(nèi)存位置
接下來,Trojan.Mebratix.B通過修改主引導(dǎo)扇區(qū)代碼中的內(nèi)存拷貝參數(shù),在主引導(dǎo)區(qū)內(nèi)調(diào)用和執(zhí)行惡意代碼。如下圖所示:
圖二 系統(tǒng)引導(dǎo)時的擴(kuò)展內(nèi)存讀取
而原主引導(dǎo)代碼則被Trojan.Mebratix.B放置至第三扇區(qū),如下圖所示:
圖三 原主引導(dǎo)區(qū)代碼被挪后
這樣,變種Trojan.Mebratix.B不僅取得了先于操作系統(tǒng)的啟動權(quán),并且很好地隱藏了感染代碼,令其不易被安全軟件檢測到。
此外,新變種采用了特殊的方法將惡意代碼隱藏于系統(tǒng)之中。它會直接將惡意代碼寫入系統(tǒng)引導(dǎo)區(qū)所在分區(qū)未使用的磁盤空間中,使得一般工具無法找到惡意代碼的隱匿之處。
Trojan.Mebratix.B運行后,還會將惡意代碼注入到explorer進(jìn)程,從網(wǎng)站http://www.t[REMOVED].cn/n.txt下載文件,以及將計算機(jī)相關(guān)信息發(fā)送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.
Trojan.Mebratix.B主要通過偷渡式下載的方式進(jìn)行傳播。