黑心软件大PK：POPUREB对上TDL4

微软恶意软件防护中心指出，有一个新的恶意软件变种可以覆盖系统的MBR记录。微软说使用恢复控制台就可以将受到感染的MBR恢复到干净的状态，同时这篇博客文章也介绍了手动修复MBR的步骤。

 

    趋势科技最近拿到了这个恶意软件的样本。下面介绍我们到目前为止的发现。

 

    POPUREB是如何运作的？

 

    根据趋势科技的分析，用户的系统可能是经由访问恶意网站而感染了POPUREB（我们检测为TROJ_POPUREB.SMA）。感染成功后，恶意软件会将它的组件，例如恶意MBR、C：alg.exe（检测为TROJ_POPUREB.SMB）和%Current%hello_tt.sys（检测为RTKT_POPUREB.A）写入到硬盘上。同时该程序还会产生一个。SYS文件，并将它的Rootkit组件注册成为一个系统服务。然后TROJ_POPUREB.SMA会删除%Current%hello_tt.sys并执行C： alg.exe。

 

    在这些恶意软件组件里，TROJ_POPUREB.SMB负责执行主要的例行任务。它会连接到特定网站去下载配置文件和其他恶意文件，同时也会传送数据给远程用户。它还会根据下载的设置去劫持浏览器会话，并对文件进行初始化，以产生恶意HTTP连接。这种恶意连接可能会导致各种不同的后果，包括下载其他恶意软件，连接到网站，或是显示恶意广告。

 

    恶意软件比一比：POPUREB对上TDL4

 

    提到会覆盖MBR，人们不禁用会将这新的恶意软件跟TDL4变种来做比较。两者都有能力感染MBR。但是，两者之间还是有一些关键性的差异。

 

    趋势科技高级威胁分析师Patrick Estavillo指出，TDL4恶意软件感染MBR是为了隐藏自己不被操作系统和防病毒软件发现。但POPUREB恶意软件并非如此，它修改MBR程序代码的主要目的是调用。SYS文件和硬盘扇区上的其他数据，最终目的是通过。SYS文件加载被直接写入到硬盘扇区上的。EXE文件。这使得POPUREB恶意软件比较容易被察觉。而且，不像TDL4恶意软件，POPUREB不会加密数据，也不会建立自己的文件系统。

 

    我们的初步分析还发现，在技术复杂性和易于被检测、清除方面，POPUREB不如TDL4恶意软件。但是这并不表示这恶意软件不构成重大威胁。事实上，POPUREB恶意软件的技术简易，可以吸引恶意软件作者来采用并且创造出他们自己的版本。