萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 新Rootkit隱形能力很強 安全戰升級

新Rootkit隱形能力很強 安全戰升級

一種新特洛伊木馬病毒在隱蔽自己這方面做得非常好,一些安全研究人員聲稱,他們與惡意代碼作者之間的戰斗將“揭開新的篇章”。

被賽門鐵克稱為“Rustock ”、被F-Secure稱為“Mailbot.AZ”的這種新的惡意代碼,采用了rootkit 來躲避安全軟件的檢測。

賽門鐵克的安全響應工程師伊利亞上個月末在博客中寫道,它可以被認為是新一代rootkit 的誕生。Rustock.A 集老技術於新創意於一體,其隱秘性足以躲過許多常用檢測技術。

Rootkit 被認為是一種新興的威脅,它被用來隱藏惡意軟件。在Rustock (Mailbot.AZ)中,Rootkit 被用來隱藏特洛伊木馬病毒。

McAfee的病毒研究經理克萊格說,在與安全軟件廠商的較量中,這種最新的Rootkit 的作者在編寫代碼前似乎對檢測工具的內部工作原理有更深的研究。

他表示,安全廠商正在努力領先黑客一步,但黑客也掌握了安全公司的技術。許多技術被綜合用來強化這一惡意代碼,在隱蔽自己方面,黑客做得很好。

伊利亞寫道,多種隱蔽技術的綜合運用使得Rustock 在“被感染的計算機上幾乎沒有任何跡象”。他說,為了躲避檢測,51自學網,Rustock 的運行沒有使用系統進程,而是在驅動程序和內核線程中運行自己的代碼。

它還使用了交替的數據流而不是隱藏的文件,也沒有使用API.據伊利亞稱,目前的檢測工具會查找系統進程、隱藏的文件、對API 的調用。

伊利亞在博客中寫道,Rustock 還躲過了rootkit 檢測工具對一些內核結構和隱藏的驅動程序。這個rootkit 使用的SYS 驅動程序具有多態形,代碼會不斷變化。

專家表示,但是,人們受到這一rootkit 及其特洛伊木馬病毒攻擊的機率很低。克萊格說,人們在博客中討論它的原因並非是它已經相當流行,而是因為它給現有rootkit 檢測工具帶來的挑戰。賽門鐵克和F-Secure也都聲明,這一威脅並不太“普遍”。

F-Secure已經更新了其BlackLight rootkit檢測工具。賽門鐵克和McAfee正在開發檢測和刪除這種最新rootkit 的工具。

copyright © 萬盛學電腦網 all rights reserved