諾頓病毒週報 2010年9月6日
Tidserv後門新變種感染MBR 遠端控制使用者電腦
病毒名稱:Backdoor.Tidserv.L
病毒類型:木馬
受影響的作業系統:Windows 95/98/2000/Me/NT/XP/Vista, Windows Server 2003
病毒分析:
後門木馬Backdoor.Tidserv最早出現於2008年,此類木馬採用高級的Rootkit技術來隱藏自己。一旦電腦受到感染,很難透過安全軟體移除。賽門鐵克安全回應中心偵測到的Backdoor.Tidserv.L是該木馬家族的最新變種。
與該木馬家族的其他成員相比,Backdoor.Tidserv.L具有以下特點:
1)該木馬會感染硬碟的主開機磁區(Master Boot Record,以下簡稱MBR),使木馬搶先獲取系統控制權,讓徹底清除該木馬的工作變得更加困難;
2)該木馬本身是一個32位元 Windows 應用程式。執行後,它首先會判斷當前Windows作業系統是32位元還是64位元。如果是32位元Windows作業系統,它就會修改系統服務以方便執行,然後釋放並載入一個32位元環境的惡意內核程式,並且修改系統MBR;如果是64位元Windows作業系統,該木馬則會立即感染MBR,並且將該木馬隱藏到硬碟的閒置空間,隨後強制使用者的電腦重新開機。電腦重開機時木馬便得以執行,這樣就繞過了64位元Windows作業系統的驅動程式簽名驗證。
Backdoor.Tidserv.L執行後將允許攻擊者遠端控制電腦、肆意運行惡意程式碼、彈出廣告視窗、重新定向用戶搜尋結果等。該木馬可透過網頁隱藏式惡意連結等多種方式進行傳播。
諾頓安全專家建議:
1. 全新2010版諾頓安全軟體獨創、基於信譽評級的全球雲端鑑識技術,使用賽門鐵克的全球安全智慧型網路,即時對來自網路的應用程式進行判斷,協助使用者抵禦最新威脅。
2. 諾頓防毒軟體創新的SONAR™ 主動行為防護技術能夠提供基於行為的防護,即使在提供傳統基於特徵的定義之前,也可以檢測新出現的間諜軟體和病毒。
3. 建議使用者不要輕易造訪可疑網站。瀏覽網頁前,可以使用「諾頓網頁安全」(http://safeweb.norton.com)分析將要造訪網頁的安全性。
4. 使用諾頓2006版本及之後產品的現有使用者,可以免費將產品升級至諾頓2010版本,升級網址http://www.symantec.com.tw/nuc。
