新Rootkit隱形能力很強 安全戰升級

一種新特洛伊木馬病毒在隱蔽自己這方面做得非常好，一些安全研究人員聲稱，他們與惡意代碼作者之間的戰斗將“揭開新的篇章”。

被賽門鐵克稱為“Rustock ”、被F-Secure稱為“Mailbot.AZ”的這種新的惡意代碼，采用了rootkit 來躲避安全軟件的檢測。

賽門鐵克的安全響應工程師伊利亞上個月末在博客中寫道，它可以被認為是新一代rootkit 的誕生。Rustock.A 集老技術於新創意於一體，其隱秘性足以躲過許多常用檢測技術。

Rootkit 被認為是一種新興的威脅，它被用來隱藏惡意軟件。在Rustock （Mailbot.AZ）中，Rootkit 被用來隱藏特洛伊木馬病毒。

McAfee的病毒研究經理克萊格說，在與安全軟件廠商的較量中，這種最新的Rootkit 的作者在編寫代碼前似乎對檢測工具的內部工作原理有更深的研究。

他表示，安全廠商正在努力領先黑客一步，但黑客也掌握了安全公司的技術。許多技術被綜合用來強化這一惡意代碼，在隱蔽自己方面，黑客做得很好。

伊利亞寫道，多種隱蔽技術的綜合運用使得Rustock 在“被感染的計算機上幾乎沒有任何跡象”。他說，為了躲避檢測，51自學網，Rustock 的運行沒有使用系統進程，而是在驅動程序和內核線程中運行自己的代碼。

它還使用了交替的數據流而不是隱藏的文件，也沒有使用API.據伊利亞稱，目前的檢測工具會查找系統進程、隱藏的文件、對API 的調用。

伊利亞在博客中寫道，Rustock 還躲過了rootkit 檢測工具對一些內核結構和隱藏的驅動程序。這個rootkit 使用的SYS 驅動程序具有多態形，代碼會不斷變化。

專家表示，但是，人們受到這一rootkit 及其特洛伊木馬病毒攻擊的機率很低。克萊格說，人們在博客中討論它的原因並非是它已經相當流行，而是因為它給現有rootkit 檢測工具帶來的挑戰。賽門鐵克和F-Secure也都聲明，這一威脅並不太“普遍”。

F-Secure已經更新了其BlackLight rootkit檢測工具。賽門鐵克和McAfee正在開發檢測和刪除這種最新rootkit 的工具。