作者：趨勢科技Joseph Cepe

一個新的主開機記錄（Master Boot Record, MBR）rootkit 近成為資安威脅的焦點。微軟惡意軟體防護中心（Microsoft Malware Protection Center, MMPC）指出有一個新的惡意軟體變種可以覆蓋系統的MBR。在MMPC的文章裡，微軟還澄清說，使用修復主控台（Windows Recovery Console）就可以將受到感染的MBR回復到乾淨的狀態，同時這篇部落格文章中也說明了手動修復MBR的步驟。

趨勢科技也有拿到這個惡意軟體的樣本。下面會介紹我們到目前為止的發現。

POPUREB是如何運作的？

根據趨勢科技的分析，使用者的系統可能是經由訪問惡意網站而感染了POPUREB（我們偵測為TROJ_POPUREB.SMA）。感染成功之後，惡意軟體會將它的組件像是 – 惡意MBR、C： alg.exe（偵測為TROJ_POPUREB.SMB）和%Current%hello_tt.sys（偵測為RTKT_POPUREB.A）寫到磁碟上。它同時也會產生一個.SYS檔案，並將它的rootkit 組件註冊成為一個服務。然後TROJ_POPUREB.SMA會去刪除%Current%hello_tt.sys並且執行C： alg.exe。

在這些惡意軟體組件裡，TROJ_POPUREB.SMB負責執行多數的例常工作。它會連接到特定網站去下載設定檔和其他惡意檔案，同時也會傳送資料給遠端使用者。它還會根據下載的設定去劫持瀏覽器會話(Sessions)，並且初始化檔案來產生惡意HTTP連線。這種惡意連線可能會導致各種不同的後果，包括下載其他惡意軟體，連接到網站，或是帶來惡意廣告。

惡意軟體比一比：POPUREB對上 TDL4

提到會覆蓋MBR，人們不禁用會將這新的惡意軟體跟TDL4變種來做比較。兩者都有能力感染MBR。但是，兩者之間還是有一些關鍵性的差異。

趨勢科技高級威脅分析師Patrick Estavillo指出，TDL4惡意軟體感染MBR是為了隱藏自己不被操作系統和防毒軟體發現。但POPUREB惡意軟體並非如此。它MBR程式碼的主要功能是去叫起.SYS檔案和硬碟磁區上的其他數據，最終目的是讓.SYS文件載入被直接寫到硬碟磁區上的.EXE檔案。這使得POPUREB惡意軟體比較容易被察覺。而且，不像TDL4惡意軟體，POPUREB惡意軟體不會加密資料，也不會建立自己的檔案系統。

我們的初步分析還表示，在技術複雜性和易於被檢測、清除方面，POPUREB不如TDL4惡意軟體。但是，這並不表示這惡意軟體不構成重大威脅。事實上，POPUREB惡意軟體的技術簡易，可以吸引惡意軟體作者來採用並且創造出他們自己的版本。想要了解更多TDL4惡意軟體的相關資訊，可以參考以下部落格文章：

l 深入分析TDL4：所有的存取動作都直接到硬碟上

l 蠕蟲，惡意DHCP和TDL4

目前，我們正在深入研究這一威脅。當遇到更多值得注意的事情時，我們將會持續更新此篇文章。

@原文出處：POPUREB vs. TDL4

◎ 免費下載防毒軟體：歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2011即刻免費下載