Rootkit隐身技术将引发新一轮安全大战 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年07月20日 10:05 计世网 | ||||||||||
Donna 编译 计世网消息 一种新的特洛伊木马病毒的隐蔽技术是如此的高明,以至于一些安全研究人员称,他们与恶意代码作者的新一轮大战即将开始。 据赛门铁克和F-Secure公司在最近的分析中表示,分别被它们称之为“Rustock”和
Rootkits技术被认为是一种新的威胁,它们常常使系统改变隐藏软件,可能是恶意软件。据赛门铁克公司表示,在Rustock(Mailbot.AZ)中,Rootkit技术常被用于隐藏一种在被感染的系统上开一个后门的特洛伊木马病毒。据McAfee公司的病毒研究经理克莱格表示,在与安全软件厂商的周旋中,这种最新的Rootkit技术的作者在编写代码前似乎对检测工具的内部工作原理有更深的研究。据他表示,安全厂商们正在努力将电脑黑客挡在自己的后面,然而,这些电脑黑客们也掌握了安全公司的技术。许多技术被综合用来强化这一恶意代码,而黑客在隐蔽自己方面做得相当好。伊利亚也写道:多种隐蔽技术的综合运用能够使Rustock在“被感染的计算机上几乎不留下任何蛛丝马迹”。 为了躲避检测,Rustock的运行没有使用系统进程,而是在驱动程序和内核线程中运行自己的代码。它使用的是交替的数据流而非隐藏的文件,而且也没有使用API。据伊利亚表示,目前的检测工具会查找系统进程、隐藏的文件以及对API的调用。伊利亚还在其博客中写道:Rustock还躲过了rootkit检测工具对一些内核结构和隐藏的驱动程序。这个rootkit使用的SYS驱动程序具有多态形,代码也会经常变化。 然而,据一些专家表示,人们受到这一rootkit及其特洛伊木马病毒攻击的机率还是非常低的。据克莱格表示,人们在博客中讨论它的原因并非是它已经相当普及了,而是因为它给现有rootkit检测工具带来了一定的挑战。F-Secure公司已经对其能够检测到当前恶意版本的BlackLight rootkit检测工具进行了更新。赛门铁克和McAfee公司仍然在开发检测并从计算机上删除这种最新rootkit的工具。 |