Wednesday, December 06, 2006
关闭杀毒软件 黑客喜欢用rootkit病毒
天极yesky
本周二,俄罗斯安全厂商卡巴斯基实验室表示,黑客越来越多地使用秘密的rootkit关闭反病毒软件。
卡巴斯基实验室的高级技术顾问大卫说,在过去的12个月中,rootkit的使用有了大幅增长。大卫和该公司的高级研究工程师罗尔说,自今年年初以 来,他们发现的内置有rootkit的蠕虫或特洛伊木马数量增长了2倍。大卫说,黑客和病毒作者之间的界线越来越模糊了,病毒、特洛伊木马、广告件已经在 借鉴黑客世界的经验。由于恶意代码编写已经成为了一种有利可图的业务,恶意代码的作者希望能够掩盖他们的行踪。
Rootkit指的是恶意代码作者用来隐藏他们的代码不被发现的工具,它通过监听系统的功能、用合法的数值取代返回的数据。rootkit其它的秘密活动包括掩盖网络活动和修改Windows注册表。
罗尔说,rootkit使用大幅度增长的原因之一是因为能够轻易地获得rootkit的源代码。他说,十几岁的脚本小子能够很容易地在互联网上获得 rootkit的源代码。尽管使用rootkit的恶意代码的比例还非常低,但它已经出现在实际的攻击中,我们距离支持rootkit的重大蠕虫爆发已经 距离我们不远了。
使用传统的反病毒技术已经不能有效地解决使用了rootkits的恶意代码,因此开发一种反rootkit的安全技术是十分重要的。F-Secure 等安全厂商在开发独立的反rootkit技术,而微软公司则在其Windows Malicious Software Removal Tool中增添了有限的rootkit探测能力。卡巴斯基实验室则计划在其6.0版产品中集成rootkit探测技术。
大卫说,反rootkit子系统能够发现隐藏的系统过程,并显示警告信息。当一些类型的rootkit作用时,卡巴斯基实验室的产品将通知用户一个进 程正在试图将它自己插入到另一个进程中。当微软公司的Windows Vista问世时,通过限制一些进程的操作和限制进程对内核的访问,它将能够抑制rootkit的泛滥。
罗尔说,目前,最好的防卫措施是以普通用户而非系统管理员权限运行Windows。在Windows XP中,这意味着用户要以Limited类帐户而非Administrator帐户登录系统。
本周二,俄罗斯安全厂商卡巴斯基实验室表示,黑客越来越多地使用秘密的rootkit关闭反病毒软件。
卡巴斯基实验室的高级技术顾问大卫说,在过去的12个月中,rootkit的使用有了大幅增长。大卫和该公司的高级研究工程师罗尔说,自今年年初以 来,他们发现的内置有rootkit的蠕虫或特洛伊木马数量增长了2倍。大卫说,黑客和病毒作者之间的界线越来越模糊了,病毒、特洛伊木马、广告件已经在 借鉴黑客世界的经验。由于恶意代码编写已经成为了一种有利可图的业务,恶意代码的作者希望能够掩盖他们的行踪。
Rootkit指的是恶意代码作者用来隐藏他们的代码不被发现的工具,它通过监听系统的功能、用合法的数值取代返回的数据。rootkit其它的秘密活动包括掩盖网络活动和修改Windows注册表。
罗尔说,rootkit使用大幅度增长的原因之一是因为能够轻易地获得rootkit的源代码。他说,十几岁的脚本小子能够很容易地在互联网上获得 rootkit的源代码。尽管使用rootkit的恶意代码的比例还非常低,但它已经出现在实际的攻击中,我们距离支持rootkit的重大蠕虫爆发已经 距离我们不远了。
使用传统的反病毒技术已经不能有效地解决使用了rootkits的恶意代码,因此开发一种反rootkit的安全技术是十分重要的。F-Secure 等安全厂商在开发独立的反rootkit技术,而微软公司则在其Windows Malicious Software Removal Tool中增添了有限的rootkit探测能力。卡巴斯基实验室则计划在其6.0版产品中集成rootkit探测技术。
大卫说,反rootkit子系统能够发现隐藏的系统过程,并显示警告信息。当一些类型的rootkit作用时,卡巴斯基实验室的产品将通知用户一个进 程正在试图将它自己插入到另一个进程中。当微软公司的Windows Vista问世时,通过限制一些进程的操作和限制进程对内核的访问,它将能够抑制rootkit的泛滥。
罗尔说,目前,最好的防卫措施是以普通用户而非系统管理员权限运行Windows。在Windows XP中,这意味着用户要以Limited类帐户而非Administrator帐户登录系统。
