【51CTO.com 綜合消息】Trojan.Mebratix家族是一個(gè)比較少見的、會(huì)侵入計(jì)算機(jī)磁盤引導(dǎo)區(qū)（Master Boot Record，MBR）的感染型病毒，危害性強(qiáng)且技術(shù)含量高。自2010年3月該病毒被***曝光后，近期賽門鐵克安全響應(yīng)中心又檢測(cè)到該家族的新變種—Trojan.Mebratix.B。

之前的Trojan.Mebratix病毒感染計(jì)算機(jī)后，會(huì)將主引導(dǎo)區(qū)的原代碼拷貝到下一個(gè)扇區(qū)，并用惡意代碼替換原引導(dǎo)區(qū)的代碼。由此，該病毒便獲取了先于操作系統(tǒng)的啟動(dòng)權(quán)，而且一般的系統(tǒng)重裝無(wú)法徹底清除該病毒。

而新變種Trojan.Mebratix.B在感染計(jì)算機(jī)的同時(shí)，更大大提升了自身的隱蔽性。分析顯示，Trojan.Mebratix.B在感染系統(tǒng)主引導(dǎo)區(qū)以后，不會(huì)直接將惡意代碼放置到主引導(dǎo)扇區(qū)，而是將其放置到主引導(dǎo)扇區(qū)之后的其他扇區(qū)。如下圖所示：

圖一 Trojan.Mebratix.B惡意代碼所在內(nèi)存位置

接下來(lái)，Trojan.Mebratix.B通過修改主引導(dǎo)扇區(qū)代碼中的內(nèi)存拷貝參數(shù)，在主引導(dǎo)區(qū)內(nèi)調(diào)用和執(zhí)行惡意代碼。如下圖所示：

圖二   系統(tǒng)引導(dǎo)時(shí)的擴(kuò)展內(nèi)存讀取

而原主引導(dǎo)代碼則被Trojan.Mebratix.B放置至第三扇區(qū)，如下圖所示：

圖三 原主引導(dǎo)區(qū)代碼被挪后

這樣，變種Trojan.Mebratix.B不僅取得了先于操作系統(tǒng)的啟動(dòng)權(quán)，并且很好地隱藏了感染代碼，令其不易被安全軟件檢測(cè)到。

此外，新變種采用了特殊的方法將惡意代碼隱藏于系統(tǒng)之中。它會(huì)直接將惡意代碼寫入系統(tǒng)引導(dǎo)區(qū)所在分區(qū)未使用的磁盤空間中，使得一般工具無(wú)法找到惡意代碼的隱匿之處。

Trojan.Mebratix.B運(yùn)行后，還會(huì)將惡意代碼注入到explorer進(jìn)程，從網(wǎng)站http://www.t[REMOVED].cn/n.txt下載文件，以及將計(jì)算機(jī)相關(guān)信息發(fā)送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.

Trojan.Mebratix.B主要通過偷渡式下載的方式進(jìn)行傳播。