Dr.Web掃描器成功偵查並修復病毒Win32.Ntldrbot

　　Dr. Web有限公司是俄羅斯一家IT-安全解決方案提供商，商標是Dr.Web，發布了Dr.Web掃描器新版本，新版本可以成功偵查Win32.Ntldrbot(aka Rustock.C)並且可以治愈被rootkit感染的系統文檔。

　　近日，全球因垃圾郵件三十周年紀念日的召開而沸騰異樣，從Hormel Foods罐裝火腿的騷擾廣告到未被允許的群發郵件，這些問題正逐漸演變為一個世界范圍的問題。很多人注意到我們的流量莫名其妙的增加了，專家評定我們電子信件中的90%是無關的騷擾。Win32. Ntldrbot是垃圾郵件制造者活動泛濫背後的原因之一。

　　Win32.Ntldrbot的主要任務是感染計算機，是把計算機轉向垃圾郵件蠕蟲的蠕蟲網—巨大的垃圾郵件網絡。然而，rootkit卻不能被偵查到。而且，這種行為在2007年10月已經開始了!據安全工作網站稱，由Rustock構建的蠕蟲是第三大威脅，每天散發大約300億的垃圾郵件信息，大部分是關於證券和醫藥類的。

　　rootkit的開發者在2005年末或者2006年初開始測試新的技術來阻止網絡驅動的功能，並隱藏於系統，當惡意程序的第一個beta版出現後，Rustock.B也在2006年活動了。它可以迂回在防火牆之內，並隱藏垃圾郵件流量。反病毒產品的供應商很容易就會掃描出並清除rootkit的變體。

　　然而，它的另一個變體--- Win32.Ntldrbot，成為了一個艱難的問題。反病毒廠商和病毒制造者都無法獲得惡意程序的樣本。並沒有相關證據來證實此病毒的存在。所以在蠕蟲被顯示前， 大部分反病毒產品供應商宣稱這個惡意程序根本不存在，並稱追逐不存在的病毒是沒有意義的。

　　現在，Win32.Ntldrbot成為了事實。

　　一些反病毒實驗室看到了這些病毒並不放棄，最後努力的搜索終於有了結果。自從2008年初，Dr.Web有限公司通過分析發現，自Win32.Ntldrbot以來已經過去了18個月，這期間rootkit在妥協的計算機上瘋長並傳播蠕蟲。假定惡意程序已經從2007年10月自由傳播並且不可視，你可以估計一下被感染流量的數量。

　　Dr.Web有限公司的病毒監視器發現了rootkit的大約600個樣本。沒有人知道還有多少存在。我們花費了幾周時間來分析這些病毒，改進偵查技術。

　　Win32.Ntldrbot 的一些特征:

　　1. 病毒使用了多態性rootkit技術使自己難於被分析和提取

　　2. 做為底層驅動程序被加載

　　3. 保護自己在運行時不被改變

　　4. 使用了反調試技術，監控硬件斷點設置，中斷系統級別調試操作(比如Syser, SoftIce)，當病毒運行時，WinDbg調試器將無法工作

　　5. 使用非正常方法截取系統函數

　　6. 具有文件型病毒功能並可以感染系統驅動程序

　　7. 每個rootkit病毒都會根據被感染的計算機硬件進行相應的調整，它將無法運行在其它計算機上。

　　8. 使用時間觸發器技術防止重復感染

　　9. 過濾掉對感染文件的調用，通過截取FSD文件系統監視器，更改文件調用流程，使用原始文件來替代對感染文件的調用

　　10. 針對anti-rootkit技術具有自我保護功能

　　11. 將病毒庫文件注入到系統進程中，並開始發送垃圾郵件。 驅動程序使用特殊的命令傳輸機制連接到這個DLL文件。

　　更多關於Win32.Ntldrbot (aka Rustock.C)的信息:

　　Win32.Ntldrbot在沒有被反病毒產品發現的情況下，隱藏了相當長一段時間。這就意味著沒有人可以保證你的機器未被感染，可能惡意程序已經變成了一種蠕蟲，並且正在發送垃圾郵件。

　　詳細信息請登陸道特韋伯(北京)信息技術有限公司 官方網站 www.drweb.com.cn 下載Dr.Web大蜘蛛反病毒2008專業版來掃描你的電腦並治愈被Win32.Ntldrbot感染的系統文檔。