新Rootkit隐形能力很强安全战将揭开新篇章 >> By 情长在线(F.N.S.T)

您的位置：情长在线 >> 文章文献 >> 业界动态 >> By 情长在线(F.N.S.T)

□ 新Rootkit隐形能力很强安全战将揭开新篇章

新Rootkit隐形能力很强安全战将揭开新篇章

［作者：佚名转贴自：情长在线点击数：更新时间：2006-7-21 文章录入：一生情长]

【字体： A 】

新Rootkit隐形能力很强安全战将揭开新篇章

CNET科技资讯网7月20日国际报道一种新特洛伊木马病毒在隐蔽自己这方面做得非常好，一些安全研究人员声称，他们与恶意代码作者之间的战斗将“揭开新的篇章”。

被赛门铁克称为“Rustock ”、被F-Secure称为“Mailbot.AZ”的这种新的恶意代码，采用了rootkit 来躲避安全软件的检测。

赛门铁克的安全响应工程师伊利亚上个月末在博客中写道，它可以被认为是新一代rootkit 的诞生。Rustock.A 集老技术于新创意于一体，其隐秘性足以躲过许多常用检测技术。

Rootkit 被认为是一种新兴的威胁，它被用来隐藏恶意软件。在Rustock （Mailbot.AZ）中，Rootkit 被用来隐藏特洛伊木马病毒。

McAfee的病毒研究经理克莱格说，在与安全软件厂商的较量中，这种最新的Rootkit 的作者在编写代码前似乎对检测工具的内部工作原理有更深的研究。

他表示，安全厂商正在努力领先黑客一步，但黑客也掌握了安全公司的技术。许多技术被综合用来强化这一恶意代码，在隐蔽自己方面，黑客做得很好。

伊利亚写道，多种隐蔽技术的综合运用使得Rustock 在“被感染的计算机上几乎没有任何迹象”。他说，为了躲避检测，Rustock 的运行没有使用系统进程，而是在驱动程序和内核线程中运行自己的代码。

它还使用了交替的数据流而不是隐藏的文件，也没有使用API。据伊利亚称，目前的检测工具会查找系统进程、隐藏的文件、对API 的调用。

伊利亚在博客中写道，Rustock 还躲过了rootkit 检测工具对一些内核结构和隐藏的驱动程序。这个rootkit 使用的SYS 驱动程序具有多态形，代码会不断变化。

专家表示，但是，人们受到这一rootkit 及其特洛伊木马病毒攻击的机率很低。克莱格说，人们在博客中讨论它的原因并非是它已经相当流行，而是因为它给现有rootkit 检测工具带来的挑战。赛门铁克和F-Secure也都声明，这一威胁并不太“普遍”。

F-Secure已经更新了其BlackLight rootkit检测工具。赛门铁克和McAfee正在开发检测和删除这种最新rootkit 的工具。

上一篇文章：甲骨文Q2补丁包修65个漏洞客户端惊现4漏洞

下一篇文章：没有了

□ 发表评论 □ 告诉好友 □ 打印此文 □ 关闭窗口

最新10篇热点文章