Rootkit隐身技术将引发新一轮安全大战-太平洋电脑网Pconline-[网络新闻]

Rootkit隐身技术将引发新一轮安全大战

作者：Donna 编译

责任编辑：zhongyuexuan

　　一种新的特洛伊木马病毒的隐蔽技术是如此的高明，以至于一些安全研究人员称，他们与恶意代码作者的新一轮大战即将开始。

　　据赛门铁克和F-Secure公司在最近的分析中表示，分别被它们称之为“Rustock”和“Mailbot.AZ”的这种新的恶意代码采用了rootkit技术躲避来自安全软件的检测。据赛门铁克公司的安全响应工程师伊利亚于上月末在其博客中写道：它可能会被认为是新一代rootkits技术的诞生。Rustock.A将老技术和新创意集一体，其隐藏技术足以能够躲过许多常用的检测技术。

　　Rootkits技术被认为是一种新的威胁，它们常常使系统改变隐藏软件，可能是恶意软件。据赛门铁克公司表示，在Rustock(Mailbot.AZ)中，Rootkit技术常被用于隐藏一种在被感染的系统上开一个后门的特洛伊木马病毒。据McAfee公司的病毒研究经理克莱格表示，在与安全软件厂商的周旋中，这种最新的Rootkit技术的作者在编写代码前似乎对检测工具的内部工作原理有更深的研究。据他表示，安全厂商们正在努力将电脑黑客挡在自己的后面，然而，这些电脑黑客们也掌握了安全公司的技术。许多技术被综合用来强化这一恶意代码，而黑客在隐蔽自己方面做得相当好。伊利亚也写道：多种隐蔽技术的综合运用能够使Rustock在“被感染的计算机上几乎不留下任何蛛丝马迹”。

　　为了躲避检测，Rustock的运行没有使用系统进程，而是在驱动程序和内核线程中运行自己的代码。它使用的是交替的数据流而非隐藏的文件，而且也没有使用API。据伊利亚表示，目前的检测工具会查找系统进程、隐藏的文件以及对API的调用。伊利亚还在其博客中写道：Rustock还躲过了rootkit检测工具对一些内核结构和隐藏的驱动程序。这个rootkit使用的SYS驱动程序具有多态形，代码也会经常变化。

　　然而，据一些专家表示，人们受到这一rootkit及其特洛伊木马病毒攻击的机率还是非常低的。据克莱格表示，人们在博客中讨论它的原因并非是它已经相当普及了，而是因为它给现有rootkit检测工具带来了一定的挑战。F-Secure公司已经对其能够检测到当前恶意版本的BlackLight rootkit检测工具进行了更新。赛门铁克和McAfee公司仍然在开发检测并从计算机上删除这种最新rootkit的工具。