Trojan.Mebratix曝新变种 瞒天过海”感染引导区

安全
Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区(Master Boot Record,MBR)的感染型病毒,危害性强且技术含量高。自2010年3月该病毒被首次曝光后,近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。

【51CTO.com 综合消息】Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区(Master Boot Record,MBR)的感染型病毒,危害性强且技术含量高。自2010年3月该病毒被***曝光后,近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。

之前的Trojan.Mebratix病毒感染计算机后,会将主引导区的原代码拷贝到下一个扇区,并用恶意代码替换原引导区的代码。由此,该病毒便获取了先于操作系统的启动权,而且一般的系统重装无法彻底清除该病毒。

而新变种Trojan.Mebratix.B在感染计算机的同时,更大大提升了自身的隐蔽性。分析显示,Trojan.Mebratix.B在感染系统主引导区以后,不会直接将恶意代码放置到主引导扇区,而是将其放置到主引导扇区之后的其他扇区。如下图所示:

图一 Trojan.Mebratix.B恶意代码所在内存位置

接下来,Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数,在主引导区内调用和执行恶意代码。如下图所示:

图二   系统引导时的扩展内存读取

而原主引导代码则被Trojan.Mebratix.B放置至第三扇区,如下图所示:

图三 原主引导区代码被挪后

这样,变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权,并且很好地隐藏了感染代码,令其不易被安全软件检测到。

此外,新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中,使得一般工具无法找到恶意代码的隐匿之处。

Trojan.Mebratix.B运行后,还会将恶意代码注入到explorer进程,从网站http://www.t[REMOVED].cn/n.txt下载文件,以及将计算机相关信息发送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.

Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。  

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2014-11-11 17:16:54

SSLStrip

2013-12-02 10:17:37

2023-02-17 18:29:09

2015-03-03 10:18:27

2020-05-09 11:09:16

字母哥黑客攻击

2014-07-28 09:33:26

2010-05-04 22:32:37

手机木马网络安全360手机卫士

2013-01-23 10:11:50

2011-07-25 17:16:05

2010-04-20 00:10:42

2019-09-02 18:29:16

深信服

2010-09-10 17:20:31

2011-03-07 13:59:00

2023-10-06 23:53:29

2014-06-03 17:53:57

变种蠕虫带毒邮件病毒

2020-02-21 18:00:45

当当网被曝员工感染

2010-09-27 11:00:46

2009-06-24 14:26:37

2011-10-24 14:12:00

2009-04-07 09:37:32

点赞
收藏

51CTO技术栈公众号