“隐形”rootkit现身

安全研究人员发现了一种几乎可以完全“隐形”的新型rootkit后门软件，大大提高了防护软件检测、清除的难度。

这种被赛门铁克称为Backdoor.Rustock.A、被F-Secure称为Mailbot.AZ的rootkit使用了一系列新技术，并结合已有技术，在被感染的系统(即使是Windows Vista Beta)中安装后可有效逃避大多数安全软件的检测，被视为“新一代rootkit的先锋”。

据介绍，该rootkit的主要“隐形”技术有：与NTFS交替数据流(ADS)技术结合、运行在驱动程序和内核线程中而没有自己的线程、不与任何原生API挂接、通过特殊的中断要求封包(IRP)来控制系统内核功能、将自己完全从内核结构中移除、SYS内核驱动每次都会改换代码、扫描已运行的rootkit检测工具。

F-Secure表示，其rootkit扫描工具BlackLight 2.2.1041可以检测到这种新型rootkit，但还很难达到有效地随时检测、清除的目的。

赛门铁克认为这种rootkit来自俄罗斯，而且其代码显示可能很快会出现新的变种。赛门铁克计划将其称为Backdoor.Rustock.B。

安全研究人员Joanna Rutkowska日前曾表示，她已经利用AMD的SVM/Pacifica虚拟化技术开发出一种新的恶意软件，“百分之百无法被检测到”。