恶意软件比一比:当 Popureb 对上 TDL4

一个新的针对硬盘MBR记录的Rootkit病毒近日成为信息安全威胁领域的焦点。微软恶意软件防护中心指出,有一个新的恶意软件变种可以覆盖系统的MBR记录。微软说使用恢复控制台就可以将受到感染的MBR恢复到干净的状态,同时这篇博客文章也介绍了手动修复MBR的步骤。

趋势科技最近拿到了这个恶意软件的样本。下面介绍我们到目前为止的发现。

POPUREB是如何运作的?

根据趋势科技的分析,用户的系统可能是经由访问恶意网站而感染了POPUREB(我们检测为TROJ_POPUREB.SMA)。感染成功后,恶意软件会将它的组件,例如恶意MBR、C:alg.exe(检测为TROJ_POPUREB.SMB)和%Current%hello_tt.sys(检测为RTKT_POPUREB.A)写入到硬盘上。同时该程序还会产生一个.SYS文件,并将它的Rootkit组件注册成为一个系统服务。然后TROJ_POPUREB.SMA会删除%Current%hello_tt.sys并执行C: alg.exe。

在这些恶意软件组件里,TROJ_POPUREB.SMB负责执行主要的例行任务。它会连接到特定网站去下载配置文件和其他恶意文件,同时也会传送数据给远程用户。它还会根据下载的设置去劫持浏览器会话,并对文件进行初始化,以产生恶意HTTP连接。这种恶意连接可能会导致各种不同的后果,包括下载其他恶意软件,连接到网站,或是显示恶意广告。

恶意软件比一比:POPUREB对上TDL4

提到会覆盖MBR,人们不禁用会将这新的恶意软件跟TDL4变种来做比较。两者都有能力感染MBR。但是,两者之间还是有一些关键性的差异。

趋势科技高级威胁分析师Patrick Estavillo指出,TDL4恶意软件感染MBR是为了隐藏自己不被操作系统和防病毒软件发现。但POPUREB恶意软件并非如此,它修改MBR程序代码的主要目的是调用.SYS文件和硬盘扇区上的其他数据,最终目的是通过.SYS文件加载被直接写入到硬盘扇区上的.EXE文件。这使得POPUREB恶意软件比较容易被察觉。而且,不像TDL4恶意软件,POPUREB不会加密数据,也不会建立自己的文件系统。

我们的初步分析还发现,在技术复杂性和易于被检测、清除方面,POPUREB不如TDL4恶意软件。但是这并不表示这恶意软件不构成重大威胁。事实上,POPUREB恶意软件的技术简易,可以吸引恶意软件作者来采用并且创造出他们自己的版本。