作者:趋势科技Joseph
Cepe
一个新的针对硬盘MBR记录的Rootkit病毒近日成为信息安全威胁领域的焦点。微软恶意软件防护中心指出,有一个新的恶意软件变种可以覆盖系统的MBR记录。微软说使用恢复控制台就可以将受到感染的MBR恢复到干净的状态,同时这篇博客文章也介绍了手动修复MBR的步骤。
趋势科技最近拿到了这个恶意软件的样本。下面介绍我们到目前为止的发现。
POPUREB是如何运作的?
根据趋势科技的分析,用户的系统可能是经由访问恶意网站而感染了POPUREB(我们检测为TROJ_POPUREB.SMA)。感染成功后,恶意软件会将它的组件,例如恶意MBR、C:\alg.exe(检测为TROJ_POPUREB.SMB)和%Current%hello_tt.sys(检测为RTKT_POPUREB.A
一个新的针对硬盘MBR记录的Rootkit病毒近日成为信息安全威胁领域的焦点。微软恶意软件防护中心指出,有一个新的恶意软件变种可以覆盖系统的MBR记录。微软说使用恢复控制台就可以将受到感染的MBR恢复到干净的状态,同时这篇博客文章也介绍了手动修复MBR的步骤。
趋势科技最近拿到了这个恶意软件的样本。下面介绍我们到目前为止的发现。
POPUREB是如何运作的?
根据趋势科技的分析,用户的系统可能是经由访问恶意网站而感染了POPUREB(我们检测为TROJ_POPUREB.SMA)。感染成功后,恶意软件会将它的组件,例如恶意MBR、C:\alg.exe(检测为TROJ_POPUREB.SMB)和%Current%hello_tt.sys(检测为RTKT_POPUREB.A
