微软恶意软件防护中心指出，有一个新的恶意软件变种可以覆盖系统的MBR记录。微软说使用恢复控制台就可以将受到感染的MBR恢复到干净的状态，同时这篇博客文章也介绍了手动修复MBR的步骤。

    趋势科技最近拿到了这个恶意软件的样本。下面介绍我们到目前为止的发现。

    POPUREB是如何运作的？

    根据趋势科技的分析，用户的系统可能是经由访问恶意网站而感染了POPUREB（我们检测为TROJ_POPUREB.SMA）。感染成功后，恶意软件会将它的组件，例如恶意MBR、C：\alg.exe（检测为TROJ_POPUREB.SMB）和%Current%hello_tt.sys（检测为RTKT_POPUREB.A）写入到硬盘上。同时该程序还会产生一个。SYS文件，并将它的Rootkit组件注册成为一个系统服务。然后TROJ_POPUREB.SMA会删除%Current%hello_tt.sys并执行C：\ alg.exe。

    在这些恶意软件组件里，TROJ_POPUREB.SMB负责执行主要的例行任务。它会连接到特定网站去下载配置文件和其他恶意文件，同时也会传送数据给远程用户。它还会根据下载的设置去劫持浏览器会话，并对文件进行初始化，以产生恶意HTTP连接。这种恶意连接可能会导致各种不同的后果，包括下载其他恶意软件，连接到网站，或是显示恶意广告。

    恶意软件比一比：POPUREB对上TDL4

    提到会覆盖MBR，人们不禁用会将这新的恶意软件跟TDL4变种来做比较。两者都有能力感染MBR。但是，两者之间还是有一些关键性的差异。

    趋势科技高级威胁分析师Patrick Estavillo指出，TDL4恶意软件感染MBR是为了隐藏自己不被操作系统和防病毒软件发现。但POPUREB恶意软件并非如此，它修改MBR程序代码的主要目的是调用。SYS文件和硬盘扇区上的其他数据，最终目的是通过。SYS文件加载被直接写入到硬盘扇区上的。EXE文件。这使得POPUREB恶意软件比较容易被察觉。而且，不像TDL4恶意软件，POPUREB不会加密数据，也不会建立自己的文件系统。

    我们的初步分析还发现，在技术复杂性和易于被检测、清除方面，POPUREB不如TDL4恶意软件。但是这并不表示这恶意软件不构成重大威胁。事实上，POPUREB恶意软件的技术简易，可以吸引恶意软件作者来采用并且创造出他们自己的版本。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。