返回新闻列表

卡巴斯基实验室发现针对64位Windows系统的恶性rootkit

        领先的信息安全解决方案提供商——卡巴斯基实验室近日宣布,检测到一种多功能的能够同时对32位系统和64位Windows系统造成威胁的rootkit程序。针对64位系统的rootkit的最大特点是其不会尝试绕过PatchGard核心保护系统,而是利用一种特殊的面向软件开发者的数字签名。这种rootkit通过一种下载器进行传播,并且会下载其他恶意软件到受感染计算机。卡巴斯基实验室的专家发现这种rootkit的一种变种会试图下载和安装针对Mac OS X操作系统的流氓反病毒软件,即假冒反病毒软件,同时还会下载其它的恶意软件。虽然这种恶意软件不会运行于Windows系统环境,但却表明网络罪犯已经开始关注其他非Windows平台。

        Rootkit是一种恶意程序,通常以驱动的形式存在,能够运行于操作系统的核心层,随系统启动自动加载。所以,使用标准的保护工具很难对rootkit进行检测。此次检测到的rootkit主要通过一种下载器传播,这种下载器使用了名为“blackhole”的漏洞利用工具包。通常,用户在访问包含这种下载器的网站时,就会被感染。感染过程利用了一些计算机中常见软件中的漏洞,如Java Runtime Environment和Adobe Reader。下载器进入计算机后,利用相应的rootkit对32位或64位Windows系统进行感染。

        卡巴斯基实验室的首席安全专家Alexander Gostev解释道:“此rootkit中的64位驱动采用一种名为“测试电子签名”的模式。如果Windows Vista或更高版本的Windows系统在“TESTSIGNING”模式下启动,采用该签名的驱动就可以启动。这是微软公司设置的一个特别暗门,目的是让驱动开发者测试其产品。但网络罪犯同样利用了该漏洞,使得恶意驱动在没有合法签名的前提下,也可以被启动。这再次表明,rootkit程序并不需要绕过最新的Windows 64位系统中的PatchGuard保护系统,同样可以实现恶意行为。”

        针对32位和64位系统的两种rootkit在功能上一致,都会阻止用户安装或运行常见的反恶意软件程序,并能够通过劫持和监控系统行为,有效避免自已被检测到。感染rootkit后,计算机很容易遭受攻击,下载器会下载和执行各种恶意代码,包括上述针对Mac OS X的流氓反病毒软件。该假冒的流氓反病毒软件被命名为Hoax.OSX.Defma,是一种最近开始流行的针对Mac OS X系统的恶意软件,网络罪犯目前正在对其进行大范围推广。

        上述示例表明,恶意软件正在变得越来越复杂,并且开始尝试包含多个不同组件,执行特定目的。这些新出现的恶意威胁能够感染不同版本的操作系统,甚至能够入侵不同的软件平台。

        目前,卡巴斯基实验室的安全产品已经能够成功检测和查杀Trojan-Downloader.Win32.Necurs.a下载器以及其附属的Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a。