警惕：新型木馬病毒使用DOS時代伎倆藏身

【原創翻譯，版權所有，合作網站如欲轉載，請註明原創翻譯作者「劉亞萌」，及文章出處（賽迪網）。謝絕非合作網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

在過去的一個多月中，一種新型的惡意軟體已經出現了，它使用一種出現了數十年之久的老技術來隱藏自身，從而躲過防病毒軟體的檢測。

這個惡意軟體，被賽門鐵克公司命名為Trojan.Mebroot，能夠將它自身安裝在計算機啟動時硬碟讀取的第一部分，然後它便改變Windows的內核部分，使安全防護軟體難於將它們檢測出來。

根據Verisign's iDefense Intelligence Team公司的報道，從12月中旬開始，網絡罪犯就已經開始安裝Trojan.Mebroot了，這種病毒已知是一種隱藏在硬碟的主引導扇區的木馬病毒，在12月12日和12月19日發起的兩次單獨的攻擊中感染了近5,000名用戶。為了能夠在受害者電腦中安裝這個軟體，攻擊者首先把他們引誘到一個有危害的網站，然後對受害者的電腦發起多種攻擊，以此企圖找到一種方法使他們能在受害者的PC機上運行木馬病毒代碼。

一旦這種惡意軟體被安裝完畢，它們就使攻擊者能夠控制受害者的機器。

iDefense公司在週一發佈的報告中說，在這種最新的木馬病毒背後，是應該對Torpig木馬病毒的負責的同一個團隊，相信他們已經安裝了超過250,000個木馬程序。

有趣的地方是，Trojan.Mebroot將它自身安裝在硬碟的主引導扇區（MBR）。這是計算機的硬碟驅動的第一部分，是任何時候計算機要啟動操作系統時第一時間要進入的部分。「基本上，如果你控制了主引導扇區，你就能夠控制操作系統並進一步控制存在於之上的計算機，」賽門鐵克公司的研究員Elia Florio在一篇關於Trojan.Mebroot的博客中說。

iDefense公司表示，犯罪者正在使用幾種不同的攻擊代碼的版本，這些版本中有些是目前的防病毒軟體產品所無法檢測到的。

「在這個時候所有的AV檢測都是不知道能不能成功的誤打誤撞，然而在最後一天許多的廠商都已經添加了對它的檢測，」nCircle網絡安全公司的安全操作總監Andrew Storms說，「至於病毒滲透的程度，到目前為止很多人表示它整體上的分佈率很低。現在該擔心的是，也許正在準備著發佈這個木馬病毒的團隊現在已經準備好了。」

感染主引導扇區的惡意軟體在MS-DOS時代很普遍，但是在最近幾年它並沒有被頻繁使用在攻擊種。

然而在2005年，eEye數碼安全公司的研究員在一次黑帽子黑客安全會議上發表講話，展示了一個木馬病毒怎樣將它自己隱藏在主引導扇區。iDefense公司表示現在的Trojan Mebroot軟體就是來自於那時的源代碼。

使這種惡意軟體可靠地工作是一項技術上的挑戰，在最近幾年普遍存在著更容易的方式能夠使壞人們控制PC機，獨立安全研究員Marc Maiffret表示，當初代碼被發展出來時Marc Maiffret曾是eEye公司的技術總監。

然而，NV實驗室的研究員們在去年發佈的主引導扇區木馬病毒的概念驗證，反倒幫了攻擊者們一個大忙。

Maiffret表示，雖然我們可能很快會看到更多的此種主引導扇區木馬病毒，「用不了多長時間各大防病毒軟體公司就會做出反應了。」

「實際上現在發生的並不是什麼更難以對付的攻擊載體，」他說，「這只是人們還未真正給予它們重視而已。」

(