Trojan.Mebratix家族是一个比较少见的、会侵入计算机磁盘引导区（Master Boot Record，MBR）的感染型病毒，危害性强且技术含量高。自2010年3月该病毒被首次曝光后，近期赛门铁克安全响应中心又检测到该家族的新变种—Trojan.Mebratix.B。

　　之前的Trojan.Mebratix病毒感染计算机后，会将主引导区的原代码拷贝到下一个扇区，并用恶意代码替换原引导区的代码。由此，该病毒便获取了先于操作系统的启动权，而且一般的系统重装无法彻底清除该病毒。

　　而新变种Trojan.Mebratix.B在感染计算机的同时，更大大提升了自身的隐蔽性。分析显示，Trojan.Mebratix.B在感染系统主引导区以后，不会直接将恶意代码放置到主引导扇区，而是将其放置到主引导扇区之后的其他扇区。如下图所示：

    图一 Trojan.Mebratix.B恶意代码所在内存位置

　　接下来，Trojan.Mebratix.B通过修改主引导扇区代码中的内存拷贝参数，在主引导区内调用和执行恶意代码。如下图所示：

 
    图二   系统引导时的扩展内存读取

　　而原主引导代码则被Trojan.Mebratix.B放置至第三扇区，如下图所示：

　　图三 原主引导区代码被挪后

　　这样，变种Trojan.Mebratix.B不仅取得了先于操作系统的启动权，并且很好地隐藏了感染代码，令其不易被安全软件检测到。

　　此外，新变种采用了特殊的方法将恶意代码隐藏于系统之中。它会直接将恶意代码写入系统引导区所在分区未使用的磁盘空间中，使得一般工具无法找到恶意代码的隐匿之处。

　　Trojan.Mebratix.B运行后，还会将恶意代码注入到explorer进程，从网站http://www.t[REMOVED].cn/n.txt下载文件，以及将计算机相关信息发送到http://www. t[REMOVED].cn/count.aspx?i=xxxxx.

　　Trojan.Mebratix.B主要通过偷渡式下载的方式进行传播。