安全研究人员发现了一种几乎可以完全“隐形”的新型rootkit后门软件,大大提高了防护软件检测、清除的难度。
这种被赛门铁克称为Backdoor.Rustock.A、被F-Secure称为Mailbot.AZ的rootkit使用了一系列新技术,并结合已有技术,在被感染的系统(即使是Windows Vista Beta)中安装后可有效逃避大多数安全软件的检测,被视为“新一代rootkit的先锋”。
据介绍,该rootkit的主要“隐形”技术有:与NTFS交替数据流(ADS)技术结合、运行在驱动程序和内核线程中而没有自己的线程、不与任何原生API挂接、通过特殊的中断要求封包(IRP)来控制系统内核功能、将自己完全从内核结构中移除、SYS内核驱动每次都会改换代码、扫描已运行的rootkit检测工具。
F-Secure表示,其rootkit扫描工具BlackLight 2.2.1041可以检测到这种新型rootkit,但还很难达到有效地随时检测、清除的目的。
赛门铁克认为这种rootkit来自俄罗斯,而且其代码显示可能很快会出现新的变种。赛门铁克计划将其称为Backdoor.Rustock.B.
安全研究人员Joanna Rutkowska日前曾表示,她已经利用AMD的SVM/Pacifica虚拟化技术开发出一种新的恶意软件,“百分之百无法被检测到”。
