業務部鬼影病毒Trojan.Mebratix是一個比較少見的、會侵入電腦開機磁區的感染型病毒。一旦感染,重灌系統也難以完全清除該病毒。
 |
鬼影病毒 Trojan.Mebratix 是一個比較少見的、會侵入電腦開機磁區的感染型病毒。一旦感染,重灌系統也難以完全清除該病毒。自 2010 年 3 月第一例病毒被發現後短短一個月內,賽門鐵克安全回應中心又檢測到該病毒的新變種-Trojan.Mebratix.B 。
與之前的 Trojan.Mebratix 病毒比較,新變種 Trojan.Mebratix.B 大大提升了自己的隱蔽性。它在感染系統開機磁區時,不會直接將惡意程式碼放置到開機磁區,而是將其放置到開機磁區之後的其他磁區。接下來通過修改某些參數,通過修改後的開機磁區代碼載入和執行惡意程式碼,而原主引導代碼則被放置至其他磁區。這樣它不僅取得了先於作業系統的啟動權,並且很巧妙地隱藏了感染代碼,讓其不易被安全軟體檢測到。
此外,新變種 Trojan.Mebratix.B 還採用了特殊的方法在系統中隱藏惡意程式碼:它會直接將惡意程式碼寫入系統開機磁區所在分區未使用的磁碟空間中,使得一般工具無法找到其的隱匿之處。執行後,Trojan.Mebratix.B 將惡意程式碼注入到 explorer 進程中,從指定網站下載檔案,並且將電腦相關資訊發送給攻擊者。.Trojan.Mebratix.B 主要通過偷渡式下載的方式進行傳播。
諾頓安全專家建議:
- 全新 2010 版諾頓安全軟體獨創的基於信譽評等的全球雲端鑑識技術,使用賽門鐵克的全球安全智慧型網路,即時對來自網路的應用程式進行判斷,協助使用者抵禦最新威脅。
- 諾頓安全軟體的「智慧雙向防火牆」功能,能夠阻止不明應用程式造訪網路,令被竊取的使用者資訊無法傳輸。
- 建議使用者儘量不要造訪可疑網站。
- 沒有安裝防毒軟體的使用者可以造訪 http://tw.symantecstore.com 下載諾頓 360 4.0 、諾頓網路安全大師 2010 或諾頓防毒 2010 試用版對病毒進行掃毒。
- 使用諾頓 2006 版本及之後產品的現有使用者,可以免費將產品升級至諾頓 2010 版本,升級網址 http://www.symantec.com.tw/nuc 。