当病毒和Rootkit技术相结合时,安全形势变得愈发严重。借助Rootkit的掩护,未来的恶意软件将更难对付,对商业用户及消费者将造成更大的威胁。 在2005年,专业反病毒研究中心监测发现,一项名为Rootkit的技术已经开始被病毒利用。从众多电脑用户发送的感染此类病毒的求助信件以及电话来看,Rootkit类病毒已经成为困扰电脑用户的新难题。目前大部分的BOT类蠕虫病毒都采用了Rootkit技术。位居2005年十大病毒之二的“灰鸽子”变种病毒就采用了Rookit技术。 Rootkit已经成为众多恶意软件的藏身工具,在其掩护下恶意软件可轻易逃脱反病毒及反间谍软件的监控。McAfee公司预测,到2008年,上述情况将大肆泛滥,形成前所未有的安全风险。 McAfee表示,在2006年初的监控中发现,与2005年同期相比,蠕虫、木马程序及间谍软件中的Rootkit工具数量激增,使用频率增长了600%。 Rootkit真面目 Rootkit最早出现可追溯到1986年,当时是指一些可以以管理员身份登录的Unix应用工具,与恶意软件并没有什么瓜葛。 现在,Rootkit指的是恶意代码作者用来隐藏他们的代码不被发现的工具,它通过监听系统的功能、用合法的数值取代返回的数据。Rootkit类病毒通过隐藏自身进程(有时甚至连添加的注册表键值也隐藏起来),以增加电脑用户的识别难度并逃避杀毒软件的查杀。 Rootkit可以被用于各种犯罪,如安装可用于黑客远程访问的后门,或使机器被用于发动向其他系统攻击的跳板。Rootkit还可以发现寻找它们的安全工具,并躲避检测。传统的恶意软件试图造成尽可能大的破坏,而Rootkit被用于攻击焦点目标,例如银行。 安全专家说:“借助Rootkit的掩护,未来的恶意软件将更难对付,对商业用户及消费者造成更大的威胁。”防病毒软件通常会发现木马的存在,但问题是不能彻底清除它。因为Rootkit本身包含一些经过隐藏的代码,有时候,Rootkit恶意代码清除之后,有可能导致PC无法工作。 没有灵丹妙药 对付Rootkit的最好办法是首先防止感染。除了维护传统的安全防线(包括防火墙、防病毒软件和补丁)外,专家们还建议锁定桌面系统来控制软件的安装和操作系统的改动。 Winternals Software公司首席软件设计师Mark Russinovich是著名Rootkit检测工具RootkitRevealer的开发者,但他承认这种工具并不是包治百病的灵丹妙药。他认为,如果用户怀疑中了Rootkit,“他们应当运行可以得到的各种Rootkit检测程序。” 专家们说,在很多Rootkit检测工具问世的同时,Rootkit诡秘的行踪使发现和根除它成为一项艰巨的工作。例如定制的Rootkit,这类Rootkit具有独特特征,采用已知Rootkit特征(如HackerDefender)进行检测的工具发现不了这些特征。 CERT(计算机安全应急响应组)曾公布过清除Rootkit方法的清单,包括备份数据,清除硬盘上所有内容,重新安装操作系统。最近,Microsoft官员在InfoSec安全大会上认可“清除并重新安装”是一种解决此问题的办法,引起会场一片哗然。尝试过清除Rootkit的用户说,虽然比较麻烦,但重新安装仍是性价比最高的补救措施。 Russinovich认为,用户需要做的事情就是部署目前可供使用的最新工具来尽量保持机器的清洁。 Rootkit发展趋势 趋势一 Rootkit不仅仅通过木马的形式进行传播,还可以通过恶意软件的形式传播 在过去的三年里,恶意软件、商业应用的盗窃技术的增长率已经达到6倍多。盗窃技术突然增长归因于类似www.tootkit.com的站点,这些站点上有数以百万条Rootkit代码。这些代码加上二进制执行代码,就可以生成恶意软件。几个被观察的Rootkit,比如AFXRootkit、FURootkit、He4HOO和KWS-Progent,可以从这些站点进行租用或修改。更为糟糕的是,许多博客通过在线形式教授一些通过编辑源代码入侵病毒扫描引擎的技术。 趋势二 Rootkit技术不断发展 协作促进了新的和更加先进的盗窃技术的发展。这种技术复杂程度的评估是基于一个软件包里的组件数量。比如,如果一个名为a.exe的Rootkit安装了b.exe、c.dll、d.sys,而d.sys安装了Rootkit的盗窃组件,所有组件的数量就是4。已知Rootkit的复杂程度在2005年几乎增长了200%。在2005年第一季度,仅仅有60个盗窃组件呈报给有关机构,而2006年第一季度,却有612个组件上报,同比增长了近900%。 今天我们所看到的许多Rootkit活动都是针对Windows平台的。在2001年,有71%的Rootkit活动是针对Windows的,而针对Linux的几乎没有。当针对Linux的Rootkit几乎不存在时,基于Windows的Rootkit将成为未来的主流。 趋势四 在合法和非法的软件中都发现Rootkit攻击 五花八门的盗窃技术几乎能够把他们传播到每个已知的恶意软件中。根据McAfee AVERT的研究,盗窃技术的攻击形式已经覆盖各种软件分发形式,许多著名的Rootkit证明了这一点。BackDoor-BAC通过垃圾邮件、木马下载和直接爆发进行分发;HackerDefender通常通过垃圾邮件、BOT、直接爆发和P2P的方式进行分发;还有一些Rootkit通过群发邮件蠕虫进行下载,并创建复杂的混合攻击。 Rootkit变种 根据这种恶意软件能否在重新引导后继续存活,以及是在用户模式下还是在内核模式下执行,Rootkit被分为几类。这几种类型的Rootkit见下表