Rootkits是恶意软件开发者梦寐以求的东西:它们允许蠕虫,bot和其它恶意软件隐藏其中而不被发现。这些文件都不会显示在Windows Explorer中,而进程也不会显示在任务管理器,可怕的是,目前很多杀毒软件都不能查到藏在Rootkit中的恶意软件。这也就是恶意软件作者对其如此情有独钟的原因。
读者比较熟悉的可能就是去年11月闹的沸沸扬扬的Sony防拷贝Rootkit事件。攻击者很快就利用Sony Rootkit来隐藏他们的恶意软件。Sony的软件能够隐藏所有以“$sys$”开头的文件或进程。所以恶意软件作者也相应的把他们的文件改名。
在三月,西班牙杀毒软件厂商Panda Software表示,发现了带有Rootkit功能的Bagle蠕虫变体。更糟的是,与botnet情况相似,Rootkit作者也在出售工具或者甚至免费提供,这无疑助长了带有Rootkit功能恶意软件的泛滥。
尽管攻击者现在基本都是为恶意软件合成Rootkit功能,但不排除会有新的攻击方式。例如,安全机构eEye就已经发现了攻击者和有可能会把文件隐藏在硬盘的启动扇区中。此外,在一月,Next-Generation Security Software的安全顾问John Heasman就宣布,通过BIOS的高级配置与电源接口(ACPI)功能,Rootkit可以把恶意代码隐藏到电脑的BIOS之中。
一个由微软与密歇根州研究人员进行的项目揭开了Rootkit研究的密码。他们设计了一种方法,首先把操作系统“撬起来”跟着把一个称为SubVirt的软件放到底层运行。对于目前所有的操作系统来说,它都能正常运行,并且这个“虚拟机”彻底控制了OS所能及的东西,还能非常简单的实现自我隐藏。
幸运的是,这种技术实现起来很有难度,并且一旦运行的状况会很明显-系统会变得非常缓慢并且某些文件名会被修改。现在来说,这样的Rootkit还处于试验阶段,以概念验证代码的方式存在;离攻击者能利用的阶段还为时尚早。
高风险的捉迷藏
找出现今相对没那么危险的Rootkit对于安全软件厂商来说是一项极大的挑战。
检测Windows电脑上的Rootkit就像是在漆黑的房间中用手电筒照某个物体,并通过物体在墙上的投影来识别各个物体。如F-Secure的BlackLight和Sysinternal的RootkitRevealer这些专业软件,它们根据Rootkit具有的不规则特性来扫描Windows文件系统和内存。
但是这些软件并不是在每种情况下都适用。例如最近,广告软件Look2Me通过禁用一个关键的系统调用而把BlackLight废掉了。这个发现虽然出于偶然,但是Rootkit作者无疑会高度关注这件事,并且会在下一版的恶意软件中加以利用。
Rootkit隐藏病毒
工作原理:隐藏的恶意软件在PC上安营扎寨
1. 带有木马的Rootkit通过被下载而入侵电脑
2. 恶意软件对系统作出深层的改动以躲过杀毒软件
3. 木马在系统上种植木马和间谍软件
防御措施
1. 安装具有Rootkit查杀功能的杀毒软件。卡巴斯基和F-Secure最新版的杀毒软件已经提供这样的功能,而其它杀毒软件应该也会很快增加这功能。
2. 安装如F-Secure的BlackLight和Sysinternal的RootkitRevealer的Rootkit检测工具,它们都是免费提供下载的。其它扫描器也会逐渐可用;读者可以到这里获得更多信息。
