本周二,俄罗斯安全厂商卡巴斯基实验室表示,黑客越来越多地使用秘密的rootkit关闭反病毒软件。
卡巴斯基实验室的高级技术顾问大卫说,在过去的12个月中,rootkit的使用有了大幅增长。大卫和该公司的高级研究工程师罗尔说,自今年年初以来,他们发现的内置有rootkit的蠕虫或特洛伊木马数量增长了2倍。大卫说,黑客和病毒作者之间的界线越来越模糊了,病毒、特洛伊木马、广告件已经在借鉴黑客世界的经验。由于恶意代码编写已经成为了一种有利可图的业务,恶意代码的作者希望能够掩盖他们的行踪。
Rootkit指的是恶意代码作者用来隐藏他们的代码不被发现的工具,它通过监听系统的功能、用合法的数值取代返回的数据。rootkit其它的秘密活动包括掩盖网络活动和修改Windows注册表。
罗尔说,rootkit使用大幅度增长的原因之一是因为能够轻易地获得rootkit的源代码。他说,十几岁的脚本小子能够很容易地在互联网上获得rootkit的源代码。尽管使用rootkit的恶意代码的比例还非常低,但它已经出现在实际的攻击中,我们距离支持rootkit的重大蠕虫爆发已经距离我们不远了。
使用传统的反病毒技术已经不能有效地解决使用了rootkits的恶意代码,因此开发一种反rootkit的安全技术是十分重要的。F-Secure等安全厂商在开发独立的反rootkit技术,而微软公司则在其Windows Malicious Software Removal Tool中增添了有限的rootkit探测能力。卡巴斯基实验室则计划在其6.0版产品中集成rootkit探测技术。
大卫说,反rootkit子系统能够发现隐藏的系统过程,并显示警告信息。当一些类型的rootkit作用时,卡巴斯基实验室的产品将通知用户一个进程正在试图将它自己插入到另一个进程中。当微软公司的Windows Vista问世时,通过限制一些进程的操作和限制进程对内核的访问,它将能够抑制rootkit的泛滥。
罗尔说,目前,最好的防卫措施是以普通用户而非系统管理员权限运行Windows。在Windows XP中,这意味着用户要以Limited类帐户而非Administrator帐户登录系统。
