【IT专家网独家】安全专家上个月发现一种新的恶意软件把自己隐藏起来避开杀毒软件。杀毒软件公司赛门铁克把这种恶意软件称作“Trojan.Mebroot”。这种恶意软件把自己安装到计算机硬盘内部。计算机在启动时首先读取这个软件,然后这个恶意软件就修改Windows内核,使杀毒软件很难发现它。
据Verisign公司的iDefense情报组称,自从2007年12月中旬以来,网络攻击者一直在安装这种名为“Trojan.Mebroot”的主引导扇区rootkit,在12月12日和12月19日进行的两次攻击中感染了将近5000个用户。为了把这个软件安装到受害者的计算机中,攻击者首先引诱用户到一个被攻破的网站,然后对受害者的计算机实施各种攻击,希望发现一种在受害者计算机上运行rootkit的方法。一旦安装完毕,这个恶意软件就能让攻击者控制受害者的计算机。
iDefense在本周一发表的一篇报告称,这个最新的rootkit背后的组织也是“Torpig Trojan”木马程序的制作者。这个组织已经安装了25万个木马程序。
赛门铁克研究人员Elia Florio在有关这个木马程序的报告中称,“Trojan.Mebroot”木马程序有趣的地方是它把自己安装到主引导扇区。这是计算机硬盘的第一个扇区,是计算机启动操作系统时首先经过的地方。如果你能控制这个主引导扇区,你就能够控制这个操作系统,从而控制这个恶意软件安装的计算机。
iDefense称,犯罪分子使用集中不同版本的攻击代码。某些攻击代码目前的杀毒产品还检测不到。
感染主引导扇区的恶意软件在MS-DOS时代是很常见的。但是,这种方法在最近几年的攻击中很少出现。
IT专家网预测,这种新木马病毒很可能是由于,2005年在黑帽大会eEye数字安全公司的研究人员上演示rootkit把自己隐藏在主启动扇区的方法派生出来的。
IT专家网原创文章,未经许可,严禁转载!
