【.com 综合消息】Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区(Master Boot Record,MBR)的感染型病毒,危害性强且技术含量高。自2010年3月该病毒被***曝光后,近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。
之前的Trojan.Mebratix病毒感染计算机后,会将主引导区的原代码拷贝到下一个扇区,并用恶意代码替换原引导区的代码。由此,该病毒便获取了先于操作系统的启动权,而且一般的系统重装无法彻底清除该病毒。
而新变种Trojan.Mebratix.B在感染计算机的同时,更大大提升了自身的隐蔽性。分析显示,Trojan.Mebratix.B在感染系统主引导区以后,不会直接将恶意代码放置到主引导扇区,而是将其放置到主引导扇区之后的其他扇区。如下图所示:
图一 Trojan.Mebratix.B恶意代码所在内存位置
接下来,Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数,在主引导区内调用和执行恶意代码。如下图所示:
图二 系统引导时的扩展内存读取
而原主引导代码则被Trojan.Mebratix.B放置至第三扇区,如下图所示:
图三 原主引导区代码被挪后
这样,变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权,并且很好地隐藏了感染代码,令其不易被安全软件检测到。
此外,新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中,使得一般工具无法找到恶意代码的隐匿之处。
Trojan.Mebratix.B运行后,还会将恶意代码注入到EXPlorer进程,从网站下载文件,以及将计算机相关信息发送到t[REMOVED].cn/count.aspx?i=xxxxx.
Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。
为什么上网时总出现安全警报
有关该病毒的详细信息如下:病毒名称: 发现时间:危害等级:影响系统: Windows发作时间:病毒类型: 木马病毒长度: size=10字节传播途径: 执行以下操作:进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。 完成下载后,特洛伊木马程序将执行它们。 发作现象: 会连接并下载其他特洛伊木马或组件。 清除该病毒的相关操作:清除病毒:禁用系统还原 (Windows Me/XP)。 更新病毒定义。 将计算机重启到安全模式或者 VGA 模式。 运行完整的系统扫描,并删除所有检测为 的文件。 如有必要,清除 Internet Explorer 历史和文件。 有关每个步骤的详细信息,请阅读以下指导。 禁用系统还原(Windows Me/XP)如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。 此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。 如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。 Windows 禁止包括防病毒程序在内的外部程序修改系统还原。 因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。 这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。 此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。 有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:如何禁用或启用 Windows XP 系统还原如何禁用或启用 Windows Me 系统还原关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH。 更新病毒定义将计算机重启到安全模式或者 VGA 模式请关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。 所有 Windows 32-bit 操作系统,除了Windows NT,可以被重启到安全模式。 更多信息请参阅文档 如何以安全模式启动计算机 。 Windows NT 4 用户:将计算机重启到 VGA 模式。 扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。 运行完整的系统扫描。 如果检测到任何文件被 感染,请单击“删除”。 如有必要,清除 Internet Explorer 历史和文件如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:启动 Internet Explorer。 单击“工具”>“Internet 选项”。 单击“常规”选项卡。 在“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。 在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
中了什么病毒会使硬盘空间全部被占满?
木马病毒的最大特点是它能够复制系统文件到C盘的根目录,一直到将所有硬盘空间全部占满为止。 此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机,而不会感染安装有Macintosh, Unix, Linux操作系统的计算机。 1.此病毒企图用不同的Windows文件填充满整个硬盘空间。 2.此病毒一旦被激活并开始运行,它将在屏幕上显示假信息3.此病毒能够复制大量的文件:C:\Windows\:\Windows\System\:\Windows\System\:\Windows\:\Windows\:\Windows\同时此病毒将上述的文件重命名为:C:\Mycon*:\User*:\Kernel*:\Regst*:\Help*:\Reg*其中文件中的*号表示是数字。 4.此病毒能够将数字添加到文件名后,这样可以使得自身能够任意的复制,以致于将整个C盘的空间全部占满为止。 比如:此病毒将C:\Windows\复制为C:\或C:\等,将C:\Windows\System\复制为C:\或C:\等。 解决方案: 1.及时升级杀毒软件,之后认真在整个硬盘上查杀此病毒,彻底清除掉查到的木马病毒。 2.在C盘上如果查找到下列文件:C:\Mycon*:\User*:\Kernel*:\Regst*:\Help*:\Reg*(其中文件中的*号表示是数字),请将其删除。
特洛伊木马病毒
病毒名称: 病毒类型: 木马类 文件 MD5: 1B414FF11AD77F8D2C1740AECFDD5E0A 公开范围: 完全公开 危害等级: 3 文件长度: 17,408 字节 感染系统: Windows98以上版本 工具: Microsoft Visual C++ 6.0 加壳类型:无 二、病毒描述: 该病毒为木马类,病毒运行后,复制自身到系统目录下,病毒文件,以批处理文件删除自身。 添加启动项,以达到随机启动的目的。 该病毒由于已出现大量的生成机,因此生成一个同种病毒特别容易,这也使其大量的被生成,再加互联网的快速传播,使其在中国大陆已形成了一个木马分支――网游盗号木马类;可以盗取用户帐号号与密码。 三、行为分析: 1、 文件运行后会释放以下文件 %WINDIR%\ %system32%\ 2、 新建注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run] 注册表值: cmdbcs 类型: REG_SZ 值: C:\WINDOWS\ 描述:添加启动项,以达到随机启动的目的 3、释放进驻内存,尝试插入下列进程中: 应用程序进程 4、插入进程后可以访问该进程资源,记录该进程中的敏感资料;例如帐号与密码 5、检测窗口标题为AVP的窗体,瑞星的警告窗体,如果检测到则关闭。 当病毒添加注册表启动项时,如果弹出瑞星注册表监控,则自动允许并关闭监控窗体。 具有反查杀能力。 注释: %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles%系统程序默认安装目录 %HomeDrive% 当前启动系统所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% 当前用户TEMP缓存变量;路径为: %Documents and Settings%\当前用户\Local Settings\Temp %System32% 是一个可变路径; 病毒通过查询操作系统来决定当前System32文件夹的位置; Windows2000/NT中默认的安装路径是 C:\Winnt\System32; Windows95/98/Me中默认的安装路径是 C:\Windows\System; WindowsXP中默认的安装路径是 C:\Windows\System32。 四、 清除方案: 1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载 。 2、手工清除请按照行为 分析除对应文件,恢复相关系统设置。 推荐使用ATool(安天安全管理工具),ATool下载地址: 或。 (1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程强行卸载 (2) 强行删除病毒文件%WINDIR%\ %system32%\ (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run] 注册表值: cmdbcs 类型: REG_SZ 值: C:\WINDOWS\
发表评论