在過去的一個多月中，一種新型的惡意軟件已經(jīng)出現(xiàn)了，它使用一種出現(xiàn)了數(shù)十年之久的老技術(shù)來隱藏自身，從而躲過防病毒軟件的檢測。

    這個惡意軟件，被賽門鐵克公司命名為Trojan.Mebroot，能夠?qū)⑺�自身安裝在計(jì)算機(jī)啟動時硬盤讀取的第一部分，然后它便改變Windows的內(nèi)核部分，使安全防護(hù)軟件難于將它們檢測出來。

    根據(jù)Verisign's iDefense Intelligence Team公司的報道，從12月中旬開始，網(wǎng)絡(luò)罪犯就已經(jīng)開始安裝Trojan.Mebroot了，這種病毒已知是一種隱藏在硬盤的主引導(dǎo)扇區(qū)的木馬病毒，在12月12日和12月19日發(fā)起的兩次單獨(dú)的攻擊中感染了近5,000名用戶。為了能夠在受害者電腦中安裝這個軟件，攻擊者首先把他們引誘到一個有危害的網(wǎng)站，然后對受害者的電腦發(fā)起多種攻擊，以此企圖找到一種方法使他們能在受害者的PC機(jī)上運(yùn)行木馬病毒代碼。

    一旦這種惡意軟件被安裝完畢，它們就使攻擊者能夠控制受害者的機(jī)器。

    iDefense公司在周一發(fā)布的報告中說，在這種最新的木馬病毒背后，是應(yīng)該對Torpig木馬病毒的負(fù)責(zé)的同一個團(tuán)隊(duì)，相信他們已經(jīng)安裝了超過250,000個木馬程序。

    有趣的地方是，Trojan.Mebroot將它自身安裝在硬盤的主引導(dǎo)扇區(qū)（MBR）。這是計(jì)算機(jī)的硬盤驅(qū)動的第一部分，是任何時候計(jì)算機(jī)要啟動操作系統(tǒng)時第一時間要進(jìn)入的部分�！盎�本上，如果你控制了主引導(dǎo)扇區(qū)，你就能夠控制操作系統(tǒng)并進(jìn)一步控制存在于之上的計(jì)算機(jī)，”賽門鐵克公司的研究員Elia Florio在一篇關(guān)于Trojan.Mebroot的博客中說。

    iDefense公司表示，犯罪者正在使用幾種不同的攻擊代碼的版本，這些版本中有些是目前的防病毒軟件產(chǎn)品所無法檢測到的。

    “在這個時候所有的AV檢測都是不知道能不能成功的誤打誤撞，然而在最后一天許多的廠商都已經(jīng)添加了對它的檢測，”nCircle網(wǎng)絡(luò)安全公司的安全操作總監(jiān)Andrew Storms說，“至于病毒滲透的程度，到目前為止很多人表示它整體上的分布率很低。現(xiàn)在該擔(dān)心的是，也許正在準(zhǔn)備著發(fā)布這個木馬病毒的團(tuán)隊(duì)現(xiàn)在已經(jīng)準(zhǔn)備好了�！�

    感染主引導(dǎo)扇區(qū)的惡意軟件在MS-DOS時代很普遍，但是在最近幾年它并沒有被頻繁使用在攻擊種。

    然而在2005年，eEye數(shù)碼安全公司的研究員在一次黑帽子黑客安全會議上發(fā)表講話，展示了一個木馬病毒怎樣將它自己隱藏在主引導(dǎo)扇區(qū)。iDefense公司表示現(xiàn)在的Trojan Mebroot軟件就是來自于那時的源代碼。

    使這種惡意軟件可靠地工作是一項(xiàng)技術(shù)上的挑戰(zhàn)，在最近幾年普遍存在著更容易的方式能夠使壞人們控制PC機(jī)，獨(dú)立安全研究員Marc Maiffret表示，當(dāng)初代碼被發(fā)展出來時Marc Maiffret曾是eEye公司的技術(shù)總監(jiān)。

    然而，NV實(shí)驗(yàn)室的研究員們在去年發(fā)布的主引導(dǎo)扇區(qū)木馬病毒的概念驗(yàn)證，反倒幫了攻擊者們一個大忙。

    Maiffret表示，雖然我們可能很快會看到更多的此種主引導(dǎo)扇區(qū)木馬病毒，“用不了多長時間各大防病毒軟件公司就會做出反應(yīng)了�！�

    “實(shí)際上現(xiàn)在發(fā)生的并不是什么更難以對付的攻擊載體，”他說，“這只是人們還未真正給予它們重視而已�！�