扫一扫
关注微信公众号

新Rootkit隐形能力很强 安全战将揭开历史新篇章
2006-07-24   CNET科技资讯网

7月20日国际报道 一种新特洛伊木马病毒在隐蔽自己这方面做得非常好,一些安全研究人员声称,他们与恶意代码作者之间的战斗将“揭开新的篇章”。

这种新的恶意代码,采用了rootkit来躲避安全软件的检测。

安全响应工程师伊利亚上个月末在博客中写道,它可以被认为是新一代rootkit的诞生。Rustock.A集老技术于新创意于一体,其隐秘性足以躲过许多常用检测技术。

Rootkit被认为是一种新兴的威胁,它被用来隐藏恶意软件。在这种新的恶意代码中,Rootkit被用来隐藏特洛伊木马病毒。

病毒研究专家克莱格说,在与安全软件厂商的较量中,这种最新的Rootkit的作者在编写代码前似乎对检测工具的内部工作原理有更深的研究。

他表示,安全厂商正在努力领先黑客一步,但黑客也掌握了安全公司的技术。许多技术被综合用来强化这一恶意代码,在隐蔽自己方面,黑客做得很好。

伊利亚写道,多种隐蔽技术的综合运用使得Rustock在“被感染的计算机上几乎没有任何迹象”。他说,为了躲避检测,Rustock的运行没有使用系统进程,而是在驱动程序和内核线程中运行自己的代码。

它还使用了交替的数据流而不是隐藏的文件,也没有使用API。据伊利亚称,目前的检测工具会查找系统进程、隐藏的文件、对API的调用。

伊利亚在博客中写道,Rustock还躲过了rootkit检测工具对一些内核结构和隐藏的驱动程序。这个rootkit使用的SYS驱动程序具有多态形,代码会不断变化。

专家表示,但是,人们受到这一rootkit及其特洛伊木马病毒攻击的机率很低。克莱格说,人们在博客中讨论它的原因并非是它已经相当流行,而是因为它给现有rootkit检测工具带来的挑战。

热词搜索:

上一篇:黑客网络传播Google虚假工具条 引诱用户下载病毒
下一篇:调整Windows XP注册表 享受极速上网

分享到: 收藏