鬼影病毒Trojan.Mebratix是一個比較少見的、會侵入電腦開機磁區的感染型病毒。一旦感染,重灌系統也難以完全清除該病毒。自2010年3月第一例病毒被發現後短短一個月內,賽門鐵克安全回應中心又檢測到該病毒的新變種—Trojan.Mebratix.B。
與之前的Trojan.Mebratix病毒比較,新變種Trojan.Mebratix.B大大提升了自己的隱蔽性。它在感染系統開機磁區時,不會直接將惡意程式碼放置到開機磁區,而是將其放置到開機磁區之後的其他磁區。接下來通過修改某些參數,通過修改後的開機磁區代碼載入和執行惡意程式碼,而原主引導代碼則被放置至其他磁區。這樣它不僅取得了先於作業系統的啟動權,並且很巧妙地隱藏了感染代碼,讓其不易被安全軟體檢測到。
此外,新變種Trojan.Mebratix.B還採用了特殊的方法在系統中隱藏惡意程式碼:它會直接將惡意程式碼寫入系統開機磁區所在分區未使用的磁碟空間中,使得一般工具無法找到其的隱匿之處。執行後,Trojan.Mebratix.B將惡意程式碼注入到explorer進程中,從指定網站下載檔案,並且將電腦相關資訊發送給攻擊者。Trojan.Mebratix.B主要通過偷渡式下載的方式進行傳播。