Tidserv後門新變種感染MBR遠端控制使用者電腦

 諾頓病毒週報  2010年9月6日

Tidserv後門新變種感染MBR   遠端控制使用者電腦

 

病毒名稱：Backdoor.Tidserv.L

病毒類型：木馬

受影響的作業系統：Windows 95/98/2000/Me/NT/XP/Vista, Windows Server 2003 

 

病毒分析：

 

後門木馬Backdoor.Tidserv最早出現於2008年，此類木馬採用高級的Rootkit技術來隱藏自己。一旦電腦受到感染，很難透過安全軟體移除。賽門鐵克安全回應中心偵測到的Backdoor.Tidserv.L是該木馬家族的最新變種。

 

與該木馬家族的其他成員相比，Backdoor.Tidserv.L具有以下特點：

1）該木馬會感染硬碟的主開機磁區（Master Boot Record，以下簡稱MBR），使木馬搶先獲取系統控制權，讓徹底清除該木馬的工作變得更加困難；

2）該木馬本身是一個32位元 Windows 應用程式。執行後，它首先會判斷當前Windows作業系統是32位元還是64位元。如果是32位元Windows作業系統，它就會修改系統服務以方便執行，然後釋放並載入一個32位元環境的惡意內核程式，並且修改系統MBR；如果是64位元Windows作業系統，該木馬則會立即感染MBR，並且將該木馬隱藏到硬碟的閒置空間，隨後強制使用者的電腦重新開機。電腦重開機時木馬便得以執行，這樣就繞過了64位元Windows作業系統的驅動程式簽名驗證。

 

Backdoor.Tidserv.L執行後將允許攻擊者遠端控制電腦、肆意運行惡意程式碼、彈出廣告視窗、重新定向用戶搜尋結果等。該木馬可透過網頁隱藏式惡意連結等多種方式進行傳播。

 

諾頓安全專家建議：

 

1.      全新2010版諾頓安全軟體獨創、基於信譽評級的全球雲端鑑識技術，使用賽門鐵克的全球安全智慧型網路，即時對來自網路的應用程式進行判斷，協助使用者抵禦最新威脅。

2.      諾頓防毒軟體創新的SONAR™ 主動行為防護技術能夠提供基於行為的防護，即使在提供傳統基於特徵的定義之前，也可以檢測新出現的間諜軟體和病毒。

3.      建議使用者不要輕易造訪可疑網站。瀏覽網頁前，可以使用「諾頓網頁安全」（http://safeweb.norton.com）分析將要造訪網頁的安全性。

4.      使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2010版本，升級網址http://www.symantec.com.tw/nuc。