Dr. Web有限公司是俄罗斯一家IT-安全解决方案提供商,商标是Dr.Web,发布了Dr.Web扫描器新版本,新版本可以成功侦查Win32.Ntldrbot(aka Rustock.C)并且可以治愈被rootkit感染的系统文档 。
近日,全球因垃圾邮件三十周年纪念日的召开而沸腾异样,从Hormel Foods罐装火腿的骚扰广告到未被允许的群发邮件,这些问题正逐渐演变为一个世界范围的问题 。很多人注意到我们的流量莫名其妙的增加了,专家评定我们电子信件中的90%是无关的骚扰 。Win32. Ntldrbot是垃圾邮件制造者活动泛滥背后的原因之一 。
Win32.Ntldrbot的主要任务是感染计算机,是把计算机转向垃圾邮件蠕虫的蠕虫网—巨大的垃圾邮件网络 。然而,rootkit却不能被侦查到 。而且,这种行为在2007年10月已经开始了!据安全工作网站称,由Rustock构建的蠕虫是第三大威胁,每天散发大约300亿的垃圾邮件信息,大部分是关于证券和医药类的 。
rootkit的开发者在2005年末或者2006年初开始测试新的技术来阻止网络驱动的功能,并隐藏于系统,当恶意程序的第一个beta版出现后,Rustock.B也在2006年活动了 。它可以迂回在防火墙之内,并隐藏垃圾邮件流量 。反病毒产品的供应商很容易就会扫描出并清除rootkit的变体 。
然而,它的另一个变体--- Win32.Ntldrbot,成为了一个艰难的问题 。反病毒厂商和病毒制造者都无法获得恶意程序的样本 。并没有相关证据来证实此病毒的存在 。所以在蠕虫被显示前,大部分反病毒产品供应商宣称这个恶意程序根本不存在,并称追逐不存在的病毒是没有意义的 。
现在,Win32.Ntldrbot成为了事实 。
一些反病毒实验室看到了这些病毒并不放弃,最后努力的搜索终于有了结果 。自从2008年初,Dr.Web有限公司通过分析发现,自Win32.Ntldrbot以来已经过去了18个月,这期间rootkit在妥协的计算机上疯长并传播蠕虫 。假定恶意程序已经从2007年10月自由传播并且不可视,你可以估计一下被感染流量的数量 。
Dr.Web有限公司的病毒监视器发现了rootkit的大约600个样本 。没有人知道还有多少存在 。我们花费了几周时间来分析这些病毒,改进侦查技术 。
Win32.Ntldrbot 的一些特征:
1. 病毒使用了多态性rootkit技术使自己难于被分析和提取
2. 做为底层驱动程序被加载
3. 保护自己在运行时不被改变
4. 使用了反调试技术,监控硬件断点设置,中断系统级别调试操作(比如Syser, SoftIce),当病毒运行时,WinDbg调试器将无法工作
5. 使用非正常方法截取系统函数
6. 具有文件型病毒功能并可以感染系统驱动程序
7. 每个rootkit病毒都会根据被感染的计算机硬件进行相应的调整,它将无法运行在其它计算机上 。
8. 使用时间触发器技术防止重复感染
9. 过滤掉对感染文件的调用,通过截取FSD文件系统监视器,更改文件调用流程,使用原始文件来替代对感染文件的调用
10. 针对anti-rootkit技术具有自我保护功能
11. 将病毒库文件注入到系统进程中,并开始发送垃圾邮件 。驱动程序使用特殊的命令传输机制连接到这个DLL文件 。
更多关于Win32.Ntldrbot (aka Rustock.C)的信息:
Win32.Ntldrbot在没有被反病毒产品发现的情况下,隐藏了相当长一段时间 。这就意味着没有人可以保证你的机器未被感染,可能恶意程序已经变成了一种蠕虫,并且正在发送垃圾邮件 。
【Dr.Web扫描器成功侦查并修复病毒Win32.Ntldrbot】详细信息请登陆道特韦伯(北京)信息技术有限公司 官方网站 www.drweb.com.cn 下载Dr.Web大蜘蛛反病毒2008专业版来扫描你的电脑并治愈被Win32.Ntldrbot感染的系统文档 。
推荐阅读
- 科目一预约成功技巧
- 关于成功欲望的句子
- 索尼爱立信北极探索环保行圆满成功
- 携程和铁路12306哪个抢票快 携程和12306抢票哪个成功率高
- 申诉成功凭证怎么填
- 赵露思《后浪》孙头头为什么学中医 《后浪》孙头头结局学中医成功了吗
- 12306候补购票一定能抢到票吗 候补购票成功率高吗
- XP系统本地连接成功无法上网
- 请问美借可以当天就下款成功吗
- 神舟八号发射成功是几年几月