新Rootkit隱形能力很強 安全戰將揭開歷史新篇章
新Rootkit隱形能力很強 安全戰將揭開歷史新篇章
來源:CNET科技資訊網 時間:2006-07-21 09:07:33
CNET科技資訊網7月20日國際報導 一種新特洛伊木馬病毒在隱蔽自己這方面做得非常好,一些安全研究人員聲稱,他們與惡意程式碼作者之間的戰鬥將「揭開新的篇章」。
這種新的惡意程式碼,採用了rootkit來躲避安全軟體的檢測。
安全回應工程師伊利亞上個月末在部落格中寫道,它可以被認為是新一代rootkit的誕生。Rustock.A集老技術於新創意於一體,其隱秘性足以躲過許多常用檢測技術。
Rootkit被認為是一種新興的威脅,它被用來隱藏惡意軟體。在這種新的惡意程式碼中,Rootkit被用來隱藏特洛伊木馬病毒。
病毒研究專家克萊格說,在與安全軟體廠商的較量中,這種最新的Rootkit的作者在編寫程式碼前似乎對檢測工具的內部工作原理有更深的研究。
他表示,安全廠商正在努力領先黑客一步,但黑客也掌握了安全公司的技術。許多技術被綜合用來強化這一惡意程式碼,在隱蔽自己方面,黑客做得很好。
伊利亞寫道,多種隱蔽技術的綜合運用使得Rustock在「被感染的電腦上幾乎沒有任何跡象」。他說,為了躲避檢測,Rustock的執行沒有使用系統工作,而是在驅動程式和內核執行緒中執行自己的程式碼。
它還使用了交替的資料流而不是隱藏的文件,也沒有使用API。據伊利亞稱,目前的檢測工具會尋找系統工作、隱藏的文件、對API的使用。
伊利亞在部落格中寫道,Rustock還躲過了rootkit檢測工具對一些內核結構和隱藏的驅動程式。這個rootkit使用的SYS驅動程式具有多態形,程式碼會不斷變化。
專家表示,但是,人們受到這一rootkit及其特洛伊木馬病毒攻擊的機率很低。克萊格說,人們在部落格中討論它的原因並非是它已經相當流行,而是因為它給現有rootkit檢測工具帶來的挑戰。
|