Trojan.Mebratix曝新变种瞒天过海”感染引导区

【.com 综合消息】Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区（Master Boot Record，MBR）的感染型病毒，危害性强且技术含量高。自2010年3月该病毒被***曝光后，近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。

让客户满意是我们工作的目标，不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户，将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴，公司提供的服务项目有：主机域名、雅安服务器托管、营销软件、网站建设、巨鹿网站维护、网站推广。

之前的Trojan.Mebratix病毒感染计算机后，会将主引导区的原代码拷贝到下一个扇区，并用恶意代码替换原引导区的代码。由此，该病毒便获取了先于操作系统的启动权，而且一般的系统重装无法彻底清除该病毒。

而新变种Trojan.Mebratix.B在感染计算机的同时，更大大提升了自身的隐蔽性。分析显示，Trojan.Mebratix.B在感染系统主引导区以后，不会直接将恶意代码放置到主引导扇区，而是将其放置到主引导扇区之后的其他扇区。如下图所示：

图一 Trojan.Mebratix.B恶意代码所在内存位置

接下来，Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数，在主引导区内调用和执行恶意代码。如下图所示：

图二   系统引导时的扩展内存读取

而原主引导代码则被Trojan.Mebratix.B放置至第三扇区，如下图所示：

图三 原主引导区代码被挪后

这样，变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权，并且很好地隐藏了感染代码，令其不易被安全软件检测到。

此外，新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中，使得一般工具无法找到恶意代码的隐匿之处。

Trojan.Mebratix.B运行后，还会将恶意代码注入到explorer进程，从网站http://www.t[REMOVED].cn/n.txt下载文件，以及将计算机相关信息发送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.

Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。

名称栏目：Trojan.Mebratix曝新变种瞒天过海”感染引导区
文章分享：http://www.gawzjz.com/qtweb2/news35/3035.html

成都网站建设公司_创新互联，为您提供电子商务、云服务器、手机网站建设、网页设计公司、做网站、定制开发

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联