» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 警惕：新型木马病毒使用DOS时代伎俩藏身   作者: 标题: 警惕：新型木马病毒使用DOS时代伎俩藏身 cwldotnet 注册用户 积分 153 发帖 146 注册 2007-12-5 #1  警惕：新型木马病毒使用DOS时代伎俩藏身 在过去的一个多月中，一种新型的恶意软件已经出现了，它使用一种出现了数十年之久的老技术来隐藏自身，从而躲过防病毒软件的检测。 　　这个恶意软件，被赛门铁克公司命名为Trojan.Mebroot，能够将它自身安装在计算机启动时硬盘读取的第一部分，然后它便改变Windows的内核部分，使安全防护软件难于将它们检测出来。 　　根据Verisign's iDefense Intelligence Team公司的报道，从12月中旬开始，网络罪犯就已经开始安装Trojan.Mebroot了，这种病毒已知是一种隐藏在硬盘的主引导扇区的木马病毒，在12月12日和12月19日发起的两次单独的攻击中感染了近5,000名用户。为了能够在受害者电脑中安装这个软件，攻击者首先把他们引诱到一个有危害的网站，然后对受害者的电脑发起多种攻击，以此企图找到一种方法使他们能在受害者的PC机上运行木马病毒代码。 　　一旦这种恶意软件被安装完毕，它们就使攻击者能够控制受害者的机器。 　　iDefense公司在周一发布的报告中说，在这种最新的木马病毒背后，是应该对Torpig木马病毒的负责的同一个团队，相信他们已经安装了超过250,000个木马程序。 　　有趣的地方是，Trojan.Mebroot将它自身安装在硬盘的主引导扇区（MBR）。这是计算机的硬盘驱动的第一部分，是任何时候计算机要启动操作系统时第一时间要进入的部分。“基本上，如果你控制了主引导扇区，你就能够控制操作系统并进一步控制存在于之上的计算机，”赛门铁克公司的研究员Elia Florio在一篇关于Trojan.Mebroot的博客中说。 　　iDefense公司表示，犯罪者正在使用几种不同的攻击代码的版本，这些版本中有些是目前的防病毒软件产品所无法检测到的。 　　“在这个时候所有的AV检测都是不知道能不能成功的误打误撞，然而在最后一天许多的厂商都已经添加了对它的检测，”nCircle网络安全公司的安全操作总监Andrew Storms说，“至于病毒渗透的程度，到目前为止很多人表示它整体上的分布率很低。现在该担心的是，也许正在准备着发布这个木马病毒的团队现在已经准备好了。” 　　感染主引导扇区的恶意软件在MS-DOS时代很普遍，但是在最近几年它并没有被频繁使用在攻击种。 　　然而在2005年，eEye数码安全公司的研究员在一次黑帽子黑客安全会议上发表讲话，展示了一个木马病毒怎样将它自己隐藏在主引导扇区。iDefense公司表示现在的Trojan Mebroot软件就是来自于那时的源代码。 　　使这种恶意软件可靠地工作是一项技术上的挑战，在最近几年普遍存在着更容易的方式能够使坏人们控制PC机，独立安全研究员Marc Maiffret表示，当初代码被发展出来时Marc Maiffret曾是eEye公司的技术总监。 　　然而，NV实验室的研究员们在去年发布的主引导扇区木马病毒的概念验证，反倒帮了攻击者们一个大忙。 　　Maiffret表示，虽然我们可能很快会看到更多的此种主引导扇区木马病毒，“用不了多长时间各大防病毒软件公司就会做出反应了。” 　　“实际上现在发生的并不是什么更难以对付的攻击载体，”他说，“这只是人们还未真正给予它们重视而已。” ※ ※ ※ 本文纯属【cwldotnet】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-4 09:49 tustin 版主 积分 5092 发帖 5067 注册 2007-3-10 来自 重庆 #2   过时的不见得是没用的 ※ ※ ※ 本文纯属【tustin】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-4 13:17 hellen 中级用户 积分 262 发帖 262 注册 2008-2-18 #3   确实要警惕啊，这样的病毒也许更厉害！ ※ ※ ※ 本文纯属【hellen】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-6 09:11 yiyefuwei 注册用户 积分 195 发帖 188 注册 2007-4-20 #4   宣传的，引导型的病毒是最好查出来的 欺骗广大群众 ※ ※ ※ 本文纯属【yiyefuwei】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-6 14:34 遥看瀑布挂前川 新手上路 积分 17 发帖 17 注册 2008-1-20 #5   见过样本的，很可怕，卡饭里面有 病毒驱动写在了硬盘未分配空间里面，修改主引导记录加载到内存，系统引导后再进行初始化，很黄很暴力的病毒，ｗｉｎｄｏｗｓ文件系统根本发现不了病毒 ※ ※ ※ 本文纯属【遥看瀑布挂前川】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-6 21:22 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号