|
|
|
 |
|
木馬病毒采用"Rootkit" 實現"視覺隱藏"
|
|
來源:賽迪 2007-11-10 15:58:00
|
|
一個可同時將用戶的“QQ”、網游帳號、銀行密碼、郵箱密碼等私人信息一并盜取的“通用型”木馬病毒近期“肆虐”網絡。該木馬病毒由一對名為Rootkit.Win32.Delf.l 和 Trojan-PSW.Win32.Delf.eve的盜號木馬組成,由于其隱身能力超強,用戶一但中此木馬,從鍵盤輸入的所有密碼信息均有被盜取的危險。此木馬病毒采用了“Rootkit”技術,實現了“視覺隱藏”,使得普通用戶基本無法查找到木馬程序文件,從而給用戶帶來極大的安全隱患。 據微點反病毒專家介紹,此木馬極為狡猾,利用了Rootkit手段來保護自身的木馬病毒文件,其所用的“Rootkit”驅動文件采用了隨機產生的1-9位可變文件名用以惡意干擾用戶進行辨識,受到“Rootkit”視覺隱藏技術保護的盜號木馬程序Trojan-PSW.Win32.Delf.eve,即使利用WINDOWS的文件夾功能進行查找、選擇“顯示所有文件”等方法,依然無法看到該木馬程序,從而實現了木馬程序視覺上的完全隱身。 對于此類有“Rootkit”進行保護的盜號木馬,極大地增加了分析和清除的難度。對于一般用戶來說,基本無法通過手工進行清除。建議廣大用戶使用帶有行為分析技術的主動防御軟件,利用“行為殺毒”強大的系統分析能力,徹底清除此例Rootkit盜號木馬,如微點主動防御軟件,主動防御安全軟件可以在未升級的情況下對該病毒做到很好的查殺效果。(如圖1、2)
相關名詞解釋:Rootkit Rootkit出現于二十世紀90年代初,字面上講是一種系統級管理工具,實際上是一種黑客使用的系統內核級別的惡意工具,最常見的應用就是隱藏木馬行蹤——完全隱藏木馬程序文件、進程和注冊表,并且可以使常規系統分析工具失效,無法捕捉到任何蛛絲馬跡。針對Rootkit使用驅動技術的特點,對Rootkit的檢測和清除需要使用更高水準的驅動級編程技術,深入系統內核進行分析判斷。對Rootkit的檢測和清除技術是當前國際反病毒行業的前沿技術。( |
