基本介紹
- 外文名:Win32 Ntldrbot
- 所屬:Dr. Web有限公司
- 作用:治癒被rootkit感染的系統文檔
- 商標:Dr.Web
Dr. Web有限公司是俄羅斯一家IT-安全解決方案提供商,商標是Dr.Web,發布了Dr.Web掃描器新版本,新版本可以成功偵查Win32.Ntldrbot(aka Rustock.C)並且可以治癒被rootkit感染的系統文檔。
近日,全球因垃圾郵件三十周年紀念日的召開而沸騰異樣,從Hormel Foods罐裝火腿的騷擾廣告到未被允許的群發郵件,這些問題正逐漸演變為一個世界範圍的問題。很多人注意到我們的流量莫名其妙的增加了,專家評定我們電子信件中的90%是無關的騷擾。Win32. Ntldrbot是垃圾郵件製造者活動泛濫背後的原因之一。
Win32.Ntldrbot的主要任務是感染計算機,是把計算機轉向垃圾郵件蠕蟲的蠕蟲網—巨大的垃圾郵件網路。然而,rootkit卻不能被偵查到。而且,這種行為在2007年10月已經開始了!據安全工作網站稱,由Rustock構建的蠕蟲是第三大威脅,每天散發大約300億的垃圾郵件信息,大部分是關於證券和醫藥類的。
rootkit的開發者在2005年末或者2006年初開始測試新的技術來阻止網路驅動的功能,並隱藏於系統,當惡意程式的第一個beta版出現後,Rustock.B也在2006年活動了。它可以迂迴在防火牆之內,並隱藏垃圾郵件流量。反病毒產品的供應商很容易就會掃描出並清除rootkit的變體。
然而,它的另一個變體--- Win32.Ntldrbot,成為了一個艱難的問題。反病毒廠商和病毒製造者都無法獲得惡意程式的樣本。並沒有相關證據來證實此病毒的存在。所以在蠕蟲被顯示前, 大部分反病毒產品供應商宣稱這個惡意程式根本不存在,並稱追逐不存在的病毒是沒有意義的。
現在,Win32.Ntldrbot成為了事實。
一些反病毒實驗室看到了這些病毒並不放棄,最後努力的搜尋終於有了結果。自從2008年初,Dr.Web有限公司通過分析發現,自Win32.Ntldrbot以來已經過去了18個月,這期間rootkit在妥協的計算機上瘋長並傳播蠕蟲。假定惡意程式已經從2007年10月自由傳播並且不可視,你可以估計一下被感染流量的數量。
Dr.Web有限公司的病毒監視器發現了rootkit的大約600個樣本。沒有人知道還有多少存在。我們花費了幾周時間來分析這些病毒,改進偵查技術。
Win32.Ntldrbot 的一些特徵:
1. 病毒使用了多態性rootkit技術使自己難於被分析和提取
2. 做為底層驅動程式被載入
3. 保護自己在運行時不被改變
5. 使用非正常方法截取系統函式
7. 每個rootkit病毒都會根據被感染的計算機硬體進行相應的調整,它將無法運行在其它計算機上。
8. 使用時間觸發器技術防止重複感染
9. 過濾掉對感染檔案的調用,通過截取FSD檔案系統監視器,更改檔案調用流程,使用原始檔案來替代對感染檔案的調用
10. 針對anti-rootkit技術具有自我保護功能
11. 將病毒庫檔案注入到系統進程中,並開始傳送垃圾郵件。 驅動程式使用特殊的命令傳輸機制連線到這個DLL檔案。