作为互联网的使用者,我们不得不无休止地为电脑操作系统打补丁,以及定期用更新过的反病毒、反间谍软件对电脑进行常规扫描。而就在我写这篇文章时,我的电脑还是遭到了特洛伊木马病毒(Trojan.Winloginhook.Delf.A)的攻击。由于该木马刚刚开始传播,所以我的反病毒软件并不能
Rootkit帮恶意软件打掩护
危害等级:高 易受攻击程度:中等 目标:Windows用户
说到Rootkit,它可谓是恶意软件作者的最终梦想,因为它可以帮助蠕虫、僵尸病毒和其他的恶意软件隐藏自己的踪迹。由于Rootkit并不会在Windows资源管理器中出现,运行时也不会显示在任务管理器中,所以很多的反病毒和反间谍软件都无法检测到被它隐藏的恶意程序,这就是如今越来越多的恶意软件作者使用Rootkit的原因。
去年11月份的索尼音乐CD事件就跟Rootkit软件有关。索尼为了隐藏版权保护文档,在音乐CD中安装了Rootkit软件。一些狡猾的网络罪犯很快就发现了这一点,并通过索尼音乐CD中的Rootkit软件来隐藏他们的恶意程序。索尼音乐CD中的文档和运行的过程都以“$sys$”开头,而恶意软件作者也把他们的文档名称改成相同的格式,以蒙骗过关。
今年3月粉,西班牙反病毒软件制造商熊猫软件公司表示他们发现了多种带有Rootkit功能的恶意Bagle蠕虫病毒。而更遭的是,和僵尸网络程序的制作者一样,Rootkit程序作者现在已经开始销售和免费分发相关的工具。对于恶意软件作者而言,这绝对值得庆贺,因为这样他们就更容易把Rootkit功能直接植入到像Bagle这样的蠕虫病毒或是新型恶意程序当中。
网络罪犯中的机会主义者使用现有的Rootkit,同时Rootkit更强大的功能也正在被开发出来。例如,安全公司eEye发现网络罪犯可以在硬盘的引导扇区隐藏恶意文档。来自NGSS(Next Generation Security Software)的安全顾问John Heasman也表示:“通过使用BIOS中的高级配置与电源接口配置,Rootkit甚至可以把恶意代码隐藏到电脑的BIOS中。”
最近,微软研究室与密西根大学的研究人员正在进行一项Rootkit方面的研究。这项研究模拟了一种“假启动”操作系统的情况,然后用名为SubVirt的软件在操作系统底层构建一个虚拟机监视器,直到操作系统发现,SubVirt一直正常运行,而且这种虚拟机可以完全控制操作系统,并能够非常好地隐藏自己。
幸运的是这项技术执行起来并没有那么简单,而且它会给用户提供线索,例如会造成系统运行速度减慢和生成日志文档。但到目前为止,这些极端的Rootkit还只是一个概念,所以恶意软件创建者要发起这样的攻击,估计还要一段比较长的时间。
Rootkit跟我们玩捉迷藏
仅仅是发现目前没有较大危害的Rootkit对于安全厂商来说就是一个严重的挑战。而发现和移除Rootkit只是一项基础的工作,即使是将Rootkit制服也不过是暂时的。如果要长期的和Rootkit斗争下去,可谓相当的困难。
其实,要想在装有Windows操作系统的电脑中检测到一个Rootkit程序并不简单,这跟在一个黑暗的房间内利用手电筒寻找目标不一样。现在安全厂商提供一些专用的Rootkit查杀工具,例如F-Secure的BlackLight、Sysinternals的RootkitRevealer,他们通过对电脑中的Windows文件系统和内存进行无规律的特征扫描,可以检测到遗留的Rootkit。
但是,这样的工具不可能在每一起案例中都起到作用。最近,臭名昭著的恶意广告程序Look2Me就成功地逃过了BlackLight的法眼,其原理是使一个关键的系统调用(System Call)无效。虽说这只是黑客偶然发现的,但是Rootkit创建者在下一轮的恶意攻击中,肯定会将目光死死盯住这一区域,这才是问题的关键。
攻击实例:恶意软件穿着隐形斗篷在你的电脑中扎营
网友评论