在过去的一个多月中，一种新型的恶意软件已经出现了，它使用一种出现了数十年之久的老技术来隐藏自身，从而躲过防病毒软件的检测。

　　这个恶意软件，被赛门铁克公司命名为Trojan.Mebroot，能够将它自身安装在计算机启动时硬盘读取的第一部分，然后它便改变Windows的内核部分，使安全防护软件难于将它们检测出来。

　　根据Verisign’s iDefense Intelligence Team公司的报道，从12月中旬开始，网络罪犯就已经开始安装Trojan.Mebroot了，这种病毒已知是一种隐藏在硬盘的主引导扇区的木马病毒，在12月12日和12月19日发起的两次单独的攻击中感染了近5,000名用户。为了能够在受害者电脑中安装这个软件，攻击者首先把他们引诱到一个有危害的网站，然后对受害者的电脑发起多种攻击，以此企图找到一种方法使他们能在受害者的PC机上运行木马病毒代码。

　　一旦这种恶意软件被安装完毕，它们就使攻击者能够控制受害者的机器。

　　iDefense公司在周一发布的报告中说，在这种最新的木马病毒背后，是应该对Torpig木马病毒的负责的同一个团队，相信他们已经安装了超过250,000个木马程序。

　　有趣的地方是，Trojan.Mebroot将它自身安装在硬盘的主引导扇区（MBR）。这是计算机的硬盘驱动的第一部分，是任何时候计算机要启动操作系统时第一时间要进入的部分。“基本上，如果你控制了主引导扇区，你就能够控制操作系统并进一步控制存在于之上的计算机，”赛门铁克公司的研究员Elia Florio在一篇关于Trojan.Mebroot的博客中说。

　　iDefense公司表示，犯罪者正在使用几种不同的攻击代码的版本，这些版本中有些是目前的防病毒软件产品所无法检测到的。

　　“在这个时候所有的AV检测都是不知道能不能成功的误打误撞，然而在最后一天许多的厂商都已经添加了对它的检测，”nCircle网络安全公司的安全操作总监Andrew Storms说，“至于病毒渗透的程度，到目前为止很多人表示它整体上的分布率很低。现在该担心的是，也许正在准备着发布这个木马病毒的团队现在已经准备好了。”

　　感染主引导扇区的恶意软件在MS-DOS时代很普遍，但是在最近几年它并没有被频繁使用在攻击种。

　　然而在2005年，eEye数码安全公司的研究员在一次黑帽子黑客安全会议上发表讲话，展示了一个木马病毒怎样将它自己隐藏在主引导扇区。iDefense公司表示现在的Trojan Mebroot软件就是来自于那时的源代码。

　　使这种恶意软件可靠地工作是一项技术上的挑战，在最近几年普遍存在着更容易的方式能够使坏人们控制PC机，独立安全研究员Marc Maiffret表示，当初代码被发展出来时Marc Maiffret曾是eEye公司的技术总监。

　　然而，NV实验室的研究员们在去年发布的主引导扇区木马病毒的概念验证，反倒帮了攻击者们一个大忙。

　　Maiffret表示，虽然我们可能很快会看到更多的此种主引导扇区木马病毒，“用不了多长时间各大防病毒软件公司就会做出反应了。”

　　“实际上现在发生的并不是什么更难以对付的攻击载体，”他说，“这只是人们还未真正给予它们重视而已。”

微信公众号

TechTarget

官方微博

TechTarget中国