Tidserv後門新變種感染MBR遠端控制使用者電腦

by news.tw
2010.09.06 06:05PM

 諾頓病毒週報  201096

Tidserv後門新變種感染MBR   遠端控制使用者電腦

 

病毒名稱:Backdoor.Tidserv.L

病毒類型:木馬

受影響的作業系統:Windows 95/98/2000/Me/NT/XP/Vista, Windows Server 2003 

 

病毒分析:

 

後門木馬Backdoor.Tidserv最早出現於2008年,此類木馬採用高級的Rootkit技術來隱藏自己。一旦電腦受到感染,很難透過安全軟體移除。賽門鐵克安全回應中心偵測到的Backdoor.Tidserv.L是該木馬家族的最新變種。

 

與該木馬家族的其他成員相比,Backdoor.Tidserv.L具有以下特點:

1)該木馬會感染硬碟的主開機磁區(Master Boot Record,以下簡稱MBR),使木馬搶先獲取系統控制權,讓徹底清除該木馬的工作變得更加困難;

2)該木馬本身是一個32位元 Windows 應用程式。執行後,它首先會判斷當前Windows作業系統是32位元還是64位元。如果是32位元Windows作業系統,它就會修改系統服務以方便執行,然後釋放並載入一個32位元環境的惡意內核程式,並且修改系統MBR;如果是64位元Windows作業系統,該木馬則會立即感染MBR,並且將該木馬隱藏到硬碟的閒置空間,隨後強制使用者的電腦重新開機。電腦重開機時木馬便得以執行,這樣就繞過了64位元Windows作業系統的驅動程式簽名驗證。

 

Backdoor.Tidserv.L執行後將允許攻擊者遠端控制電腦、肆意運行惡意程式碼、彈出廣告視窗、重新定向用戶搜尋結果等。該木馬可透過網頁隱藏式惡意連結等多種方式進行傳播。

 

諾頓安全專家建議:

 

1.      全新2010版諾頓安全軟體獨創、基於信譽評級的全球雲端鑑識技術,使用賽門鐵克的全球安全智慧型網路,即時對來自網路的應用程式進行判斷,協助使用者抵禦最新威脅。

2.      諾頓防毒軟體創新的SONAR™ 主動行為防護技術能夠提供基於行為的防護,即使在提供傳統基於特徵的定義之前,也可以檢測新出現的間諜軟體和病毒。

3.      建議使用者不要輕易造訪可疑網站。瀏覽網頁前,可以使用「諾頓網頁安全」http://safeweb.norton.com分析將要造訪網頁的安全性。

4.      使用諾頓2006版本及之後產品的現有使用者,可以免費將產品升級至諾頓2010版本,升級網址http://www.symantec.com.tw/nuc

相關消息

遊戲天堂
FCC電檢照片顯示華碩將推出一黑一白兩款ROG Ally 2電競掌機,增強握柄人體工學、黑色機型可能為Xbox認證機型
Chevelle.fu
1 個月前
在地生活
吉伊卡哇廠商限定圖片外流 日方決定取消台灣訂單
討喜小姐
1 個月前
開箱評測
Cooler Master NCORE 100 Air直立式ITX風冷機殼評測,超小占地面積能容高規格系統的精緻機殼
Chevelle.fu
1 個月前
產業消息
Sony將在5月13日公布Xperia 1 VII,首支預告聚焦Alpha相機技術
Chevelle.fu
1 個月前
開箱評測
不想要耳塞 Sony無線降噪耳機折590元 平價降噪耳罩式耳機可選它
Tandee
1 個月前
產業消息
三星旗下HARMAN收購持有B&W、天龍馬蘭士的Sound United
Chevelle.fu
1 個月前
關於android播放3gp內含AAC無法撥放問題
hanawa
15 年前
人物專訪
GPS導航發明前計程車怎麼找路?以前載客常遇到霸王車、靈異事件?本篇就讓「老司機」親自說給你聽!
丹費特
1 個月前
遊戲天堂
吉伊卡哇袋著走聽見玩家心聲大更新 期待退坑玩家回流
討喜小姐
2 個月前