返回新闻列表

卡巴斯基实验室采用新的检测处理技术查杀主引导扇区rootkit

        领先的信息安全解决方案提供商-卡巴斯基实验室目前已开始采用新的检测处理技术用于查杀主引导扇区(MBR)rootkit的新变种。

        这种rookit是Sinowal的新变种,是一种可以感染计算机磁盘主引导扇区并且隐藏自己的恶意程序。卡巴斯基实验室最早在2009年3月末检测到该变种。

        2008年期间,卡巴斯基实验室的技术专家在一季度恶意软件发展情况报告(详情请参见www.viruslist.com/en/analysis?pubid=204792002)以及一篇题为《Bootkit:2008年的新挑战》的分析文章中对rootkit的其他变种进行了详细地分析。尽管如此,新变种还是让研究者们吃了一惊。因为同以往早期的变种不同,这种名为Backdoor.Win32.Sinowal的新变种能够更深入地渗入受感染系统,以避免被检测到。该变种采用了隐匿技术手段,可以从操作系统最底层挂钩设备对象。这是网络罪犯首次采用如此复杂的技术。这也恰恰说明了为何该新变种最早出现时,一般反病毒软件无法检测和清除系统上感染的此恶意软件。该bootkit侵入系统后,会隐藏自身的行为,伺机窃取用户数据以及各种账号信息。

        卡巴斯基实验室的专家指出,在过去的几个月中,该bootkit一直在通过一些恶意网站进行传播,而这些网站都存在Neosploit 漏洞。尤其值得注意是,它能够利用Adobe Acrobat Reader的漏洞侵入系统,并在用户不知情的情况下下载一个恶意PDF文件到用户计算机系统。

        目前该bootkit仍在互联网上广泛传播,对于此bootkit的检测和清除,是近几年来反病毒专家们面临的一项最艰难的任务。而卡巴斯基实验室则成为最早在其个人反病毒解决方案中成功进行检测和查杀该Sinowal新变种的安全厂商之一。

        要检测您的计算机是否已感染该bootkit,请先将反病毒软件数据库更新到最新,然后彻底扫描系统。如果检测到bootkit感染,反病毒软件会在清理过程中提示用户重新启动计算机。

        卡巴斯基实验室专家同时建议用户及时安装相应的系统及应用程序补丁,消除所使用软件如Acrobat Reader以及浏览器等的漏洞。