【51CTO.com 綜合消息】領(lǐng)先的信息技術(shù)解決方案提供商——卡巴斯基實(shí)驗(yàn)室發(fā)表了一篇名為“Bootkit2009”文章，該文章由卡巴斯基實(shí)驗(yàn)室高級(jí)分析師Sergey Golovanov和 卡巴斯基實(shí)驗(yàn)室高級(jí)惡意軟件分析師Vyacheslav Rusakov撰寫，針對的是去年最危險(xiǎn)的惡意軟件修正版本Backdoor.Win32.Sinowal。

3月底發(fā)現(xiàn)的bootkit新版本通過可以下載盜版軟件的網(wǎng)站、色情資源站點(diǎn)來傳播。幾乎所有受到感染的服務(wù)器都會(huì)被安插上一個(gè)俄語鏈接：這些傳播惡意程序的架構(gòu)在其業(yè)內(nèi)也被美其名曰為“合作伙伴項(xiàng)目”，即網(wǎng)站所有者與惡意程序編寫者之間的關(guān)系。

這種為站點(diǎn)創(chuàng)建域名從而探測漏洞的傳播方式也被認(rèn)為是一種相對比較新的技術(shù)，這種方法幾乎不能使用黑名單來阻止訪問攻擊網(wǎng)站。

與以往一樣，bootkit是通過感染MBR，在操作系統(tǒng)還沒有啟動(dòng)之前加載自己的驅(qū)動(dòng)。和以往的不同的是，這個(gè)版本的rootkit使用更先進(jìn)的技術(shù)來隱藏自身，其驅(qū)動(dòng)程序代碼也進(jìn)行了重大修改，大部分關(guān)鍵函數(shù)都會(huì)為操作系統(tǒng)安裝系統(tǒng)鉤子函數(shù)，或者本身就是鉤子函數(shù)，其中包含了分析惡意代碼的復(fù)雜程序。

一項(xiàng)來自其他反病毒公司的對bootkit產(chǎn)品的監(jiān)測數(shù)據(jù)比較表明，每一次惡意用戶修改創(chuàng)建法則和更改域名所使用的方法都利用了bootkit，并不是所有的這些解決方案都能夠防止bootkit入侵計(jì)算機(jī)，并在最短時(shí)間內(nèi)恢復(fù)受感染系統(tǒng)的。

卡巴斯基實(shí)驗(yàn)室為用戶提供全方位的可靠保護(hù)，能夠防止bootkit在所有階段的運(yùn)作，當(dāng)用戶訪問被感染的網(wǎng)站時(shí)，卡巴斯基全功能安全軟件2009就會(huì)阻止網(wǎng)站下載漏洞、腳本，因?yàn)閯?chuàng)建和下載漏洞是最危險(xiǎn)的。

最新發(fā)現(xiàn)的bootkit變種表明，我們有必要改進(jìn)現(xiàn)有的反病毒技術(shù)，從而有效的打擊那些不僅試圖感染計(jì)算機(jī)，還具有高水平操作系統(tǒng)的復(fù)雜威脅。

查詢文章全部內(nèi)容請登陸www.viruslist.com/en?？ò退够鶎?shí)驗(yàn)室的分析師在Malware Evolution: January – March 2008中詳細(xì)闡述了bootkit在去年的全部版本，并歸納到了Bootkit: the challenge of 2008的文章中。

如需轉(zhuǎn)載請注明作者、公司名字、以及文章出處；如需復(fù)制此材料，請聯(lián)系卡巴斯基實(shí)驗(yàn)室市場部。