【51CTO.com 綜合消息】Trojan.Mebratix家族是一個比較少見的、會侵入計算機磁盤引導區（Master Boot Record，MBR）的感染型病毒，危害性強且技術含量高。自2010年3月該病毒被***曝光后，近期賽門鐵克安全響應中心又檢測到該家族的新變種—Trojan.Mebratix.B。

之前的Trojan.Mebratix病毒感染計算機后，會將主引導區的原代碼拷貝到下一個扇區，并用惡意代碼替換原引導區的代碼。由此，該病毒便獲取了先于操作系統的啟動權，而且一般的系統重裝無法徹底清除該病毒。

而新變種Trojan.Mebratix.B在感染計算機的同時，更大大提升了自身的隱蔽性。分析顯示，Trojan.Mebratix.B在感染系統主引導區以后，不會直接將惡意代碼放置到主引導扇區，而是將其放置到主引導扇區之后的其他扇區。如下圖所示：

圖一 Trojan.Mebratix.B惡意代碼所在內存位置

接下來，Trojan.Mebratix.B通過修改主引導扇區代碼中的內存拷貝參數，在主引導區內調用和執行惡意代碼。如下圖所示：

圖二   系統引導時的擴展內存讀取

而原主引導代碼則被Trojan.Mebratix.B放置至第三扇區，如下圖所示：

圖三 原主引導區代碼被挪后

這樣，變種Trojan.Mebratix.B不僅取得了先于操作系統的啟動權，并且很好地隱藏了感染代碼，令其不易被安全軟件檢測到。

此外，新變種采用了特殊的方法將惡意代碼隱藏于系統之中。它會直接將惡意代碼寫入系統引導區所在分區未使用的磁盤空間中，使得一般工具無法找到惡意代碼的隱匿之處。

Trojan.Mebratix.B運行后，還會將惡意代碼注入到explorer進程，從網站http://www.t[REMOVED].cn/n.txt下載文件，以及將計算機相關信息發送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.

Trojan.Mebratix.B主要通過偷渡式下載的方式進行傳播。