Tidserv后门新变种感染MBR，远程控制用户计算机

        后门木马Backdoor.Tidserv最早出现于2008年，此类木马采用了高级的Rootkit技术来隐藏自身。一旦感染了计算机，安全软件很难将其清除。赛门铁克安全响应中心近期又发现了该家族的新变种--Backdoor.Tidserv.L。
 
        与该木马家族的其他成员相比，Backdoor.Tidserv.L具有一些新的特点：

        1）该木马会感染硬盘的主引导扇区（Master Boot Record，以下简称MBR），使木马更早地获取系统控制权，从而令彻底清除该木马变得更加困难；

        2）该木马本身是一个32位Windows 应用程序。运行后，它会首先判断当前Windows操作系统是32位还是64位。如果是32位Windows操作系统，它就会修改系统服务以运行自身，然后释放和加载一个32位环境的恶意内核程序，并且修改系统MBR；如果是64位Windows操作系统，则该木马会立即感染MBR，并且将该木马隐藏到磁盘末端的空闲空间，随后强制用户重启计算机。计算机重启时木马得到运行，这样就绕过了64位Windows操作系统的驱动签名验证。
 
        Backdoor.Tidserv.L运行后将允许攻击者远程控制计算机，肆意运行恶意代码，弹出广告，重定向用户搜索结果等。

        由于该木马可通过网页挂马等多种方式进行传播，我们建议用户不要轻易访问可疑网站。用户浏览网页前，可以使用“诺顿网页安全”（http://safeweb.norton.com/）分析将要访问网页的安全性。