病毒名稱：Backdoor.Tidserv.L
病毒類型：木馬
受影響的作業系統：Windows 95/98/2000/Me/NT/XP/Vista, Windows Server 2003

病毒分析：

後門木馬Backdoor.Tidserv最早出現於2008年，此類木馬採用高級的Rootkit技術來隱藏自己。一旦電腦受到感染，很難透過安全軟體移除。賽門鐵克安全回應中心偵測到的Backdoor.Tidserv.L是該木馬家族的最新變種。

與該木馬家族的其他成員相比，Backdoor.Tidserv.L具有以下特點：
1）該木馬會感染硬碟的主開機磁區（Master Boot Record，以下簡稱MBR），使木馬搶先獲取系統控制權，讓徹底清除該木馬的工作變得更加困難；
2）該木馬本身是一個32位元 Windows 應用程式。執行後，它首先會判斷當前Windows作業系統是32位元還是64位元。如果是32位元Windows作業系統，它就會修改系統服務以方便執行，然後釋放並載入一個32位元環境的惡意內核程式，並且修改系統MBR；如果是64位元Windows作業系統，該木馬則會立即感染MBR，並且將該木馬隱藏到硬碟的閒置空間，隨後強制使用者的電腦重新開機。電腦重開機時木馬便得以執行，這樣就繞過了64位元Windows作業系統的驅動程式簽名驗證。

Backdoor.Tidserv.L執行後將允許攻擊者遠端控制電腦、肆意運行惡意程式碼、彈出廣告視窗、重新定向用戶搜尋結果等。該木馬可透過網頁隱藏式惡意連結等多種方式進行傳播。

諾頓安全專家建議：

1. 全新2010版諾頓安全軟體獨創、基於信譽評級的全球雲端鑑識技術，使用賽門鐵克的全球安全智慧型網路，即時對來自網路的應用程式進行判斷，協助使用者抵禦最新威脅。
2. 諾頓防毒軟體創新的SONAR™ 主動行為防護技術能夠提供基於行為的防護，即使在提供傳統基於特徵的定義之前，也可以檢測新出現的間諜軟體和病毒。
3. 建議使用者不要輕易造訪可疑網站。瀏覽網頁前，可以使用「諾頓網頁安全」（http://safeweb.norton.com）分析將要造訪網頁的安全性。
4. 使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2010版本，升級網址http://www.symantec.com.tw/nuc。

- 新聞稿有效日期，至2010/10/07為止

上一篇：資策會9/25開辦「IT服務管理(ITIL)規劃導入實務班」課程
下一篇：EMC宣布RSA雲端資訊安全與資安法規解決方案