Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区（Master Boot Record，MBR）的感染型病毒，危害性强且技术含量高。自2010年3月该病毒被首次曝光后，近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。

之前的Trojan.Mebratix病毒感染计算机后，会将主引导区的原代码拷贝到下一个扇区，并用恶意代码替换原引导区的代码。由此，该病毒便获取了先于操作系统的启动权，而且一般的系统重装无法彻底清除该病毒。

而新变种Trojan.Mebratix.B在感染计算机的同时，更大大提升了自身的隐蔽性。分析显示，Trojan.Mebratix.B在感染系统主引导区以后，不会直接将恶意代码放置到主引导扇区，而是将其放置到主引导扇区之后的其他扇区。如下图所示：
 

图一 Trojan.Mebratix.B恶意代码所在内存位置
接下来，Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数，在主引导区内调用和执行恶意代码。如下图所示：
 

图二   系统引导时的扩展内存读取
而原主引导代码则被Trojan.Mebratix.B放置至第三扇区，如下图所示：
 

图三 原主引导区代码被挪后

这样，变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权，并且很好地隐藏了感染代码，令其不易被安全软件检测到。

此外，新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中，使得一般工具无法找到恶意代码的隐匿之处。

Trojan.Mebratix.B运行后，还会将恶意代码注入到explorer进程，从网站http://www.t[REMOVED].cn/n.txt下载文件，以及将计算机相关信息发送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.

Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。

文章如转载，请注明转载自：http://www.5iadmin.com/post/571.html