隐形,远程系统访问程序称为“rootkit”可能引发恶意代码的下一波大,和已经开始影响新的互联网蠕虫和病毒的设计,根据安全专家。现在安全软件公司关心和注意了,释放软件,可以发现和删除rootkit从受感染的系统。
最近几周,少数几家公司,包括反病毒公司f - secure, Sana安全和自由软件发布的站点Sysinternals的产品他们声称可以搜出内核rootkit的程序操作微软的Windows操作系统和逃避安全软件。但buzz的rootkit可能被夸大了,据一位领先的恶意代码专家说,强大的程序,虽然危险,永远不会变得像电流一样广泛的病毒、蠕虫、间谍软件。
rootkit是恶意程序设计为不可见,经常更换操作系统核心功能的版本相同的功能,为远程攻击者提供了一个后门妥协系统,资深的工程总监Al Huger说道赛门铁克。
内核rootkit已经出现自1994年以来,当第一个“概念验证”项目被开发,逃避检测通过加载和隐藏在Solaris内核中,或核心处理中心,他说。
尽管他们不是新的,rootkit增加能量和注意力的焦点在地下恶意编码社区,和已经开始影响更常见的威胁,如电子邮件病毒和蠕虫,f - secure Mikko海波伦说。
最近的两个病毒、Myfip。H和Maslan。借用rootkit,都有隐形功能,海波伦说。Maslan。一个隐藏文件和文件夹需要运行,这样他们不能从窗户内由管理员。Myfip。H操纵Windows内核隐藏进程使用的内存的病毒,根据f - secure。
这些特性使它非常困难对于大多数反病毒产品,包括f - secure,发现了程序,因为杀毒软件通常依赖于病毒的“签名”,如可执行文件的名字,记忆过程,证据的感染或文件夹,海波伦说。
应对新威胁,f - secure发布一个rootkit的评估版本检测项目叫做BlackLight 3月10日。软件查找的rootkit的行为,如试图隐藏进程的程序,文件,文件夹或配置设置,他说。
f - secure计划BlackLight滚到它的消费者和企业反病毒产品,这将使该公司发现rootkit之前安装在客户系统,对机器和检测感染已经妥协,海波伦说。
另一个免费程序,名为RootkitRevealer BlackLight采取相似的方法,马克·若斯诺维奇说,Winternals软件公司的首席软件架构师LP的奥斯汀,得克萨斯州SysInternals的自由软件网站运营。
RootkitRevealer分析指令从Windows的api在内核级和用户环境,然后将扫描的结果进行比较。旨在发现rootkit的方法识别操作系统数据的位置时,他说。
Sana安全,”加州圣马特奥的表示,最新版本的主要响应入侵预防系统技术可以发现rootkit。主要反应3.0使用技术称为主动恶意软件防御技术(积极联合化疗)分析内存进程或应用程序在一台计算机上的行为随着时间的推移和旗帜的恶意行为,或试图逃避检测软件,该公司说3月7日。
然而,有限制的一些新的检测项目,杰米•巴特勒表示的工程总监HBGary的作者和傅rootkit和副rootkit检测项目。
例如,RootkitRevealer无法检测到傅的实例,因为它看起来只是操纵Windows注册表条目和隐藏文件,而不是临时记忆傅运行过程,巴特勒说。
f - secure傅BlackLight可以检测,但“不会持续太久,”巴特勒警告说。傅的新版本将计数器BlackLight的检测机制,迫使f - secure去深入内核发现傅设施,他说。
“这是一个国际象棋比赛。现在,f - secure傅殴打,但我会想出一个更好的技术,这将使他们变得更好,”他说。
但并非所有人都认为rootkit是值得新产品的一个主要威胁。
“如果我们已经看到增加(rootkit感染)并不足以支持关注,”说,赛门铁克的迅速发展。
与间谍软件和木马程序,rootkit通常用于有针对性的攻击系统,恶意黑客希望控制在很长一段时间,没有散射病毒或蠕虫攻击,迅速发展。赛门铁克杀毒软件可以发现许多不同种类的rootkit,但对待他们一样的其他类型的恶意代码,并且可以删除某些rootkit感染,他说。
“在一天结束的时候,如果你有一块恶意代码在您的系统上,你不想要,我们都一样的。我们会发现它,消除它,让你安全,”大说。
若斯诺维奇Sysinternals同意rootkit感染并不普遍。
超过49000张的RootkitRevealer从Sysinternals的网站下载免费产品公布后,在2月22日。然而,该公司还没有收到许多报道感染那些下载程序。不过,rootkit可能非常有用的网络犯罪团伙,甚至网络恐怖分子,特别是当嫁给了蠕虫和病毒快速传播的特性,若斯诺维奇说。
f - secure研究人员同意。尽管缺乏广泛的rootkit感染的证据,该公司认为技术进步从rootkit作者将进入下一代mass-propagating恶意代码,和有一个独立的研究团队工作专门rootkit过去的一年,海波伦说。
之间来回的rootkit作者和保安公司也迫使安全公司保持敏锐,巴特勒说。“商业公司只有成为必须。傅出现之前,(杀毒软件公司)做或多或少的简单——基于签名的扫描,扫描,寻找文件在磁盘上的存在。现在,rootkit傅和黑客的后卫,他们开始注意和意识到他们必须变得更好。”