鬼影病毒新变种瞒天过海感染引导区

讯达电脑 · 发表于 2011-2-21 15:14:55

病毒名称：Trojan.Mebratix.B
病毒类型：木马
受影响的操作系统： Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：
鬼影病毒Trojan.Mebratix是一个比较少见的、会侵入计算机磁盘引导区的感染型病毒。一旦感染，重装系统也难以完全清除该病毒。自2010年3月第一例病毒被曝光后短短一个月内，赛门铁克安全响应中心又检测到该病毒的新变种—Trojan.Mebratix.B。

与之前的Trojan.Mebratix病毒比较，新变种Trojan.Mebratix.B大大提升了自身的隐蔽性。它在感染系统主引导区时，不会直接将恶意代码放置到主引导区，而是将其放置到主引导区之后的其他扇区。接下来通过修改某些参数，通过修改后的主引导区代码加载和执行恶意代码，而原主引导代码则被放置至其他扇区。这样它不仅取得了先于操作系统的启动权，并且很好地隐藏了感染代码，令其不易被安全软件检测到。此外，新变种Trojan.Mebratix.B还采用了特殊的方法在系统中隐藏恶意代码：它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中，使得一般工具无法找到其的隐匿之处。运行后，Trojan.Mebratix.B将恶意代码注入到explorer进程，从指定网站下载文件，并且将计算机相关信息发送给攻击者。.

Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。