一个鬼鬼祟祟的安全问题，被坏人忽略

Frank Boldewin在他的时代看到过很多恶意软件，但从来没有像Rustock.C

这样的东西用于感染Windows PC并将它们变成不知情的垃圾邮件服务器，Rustock.C是一个rootkit它将自己安装在Windows操作系统上，然后使用各种复杂的技术，使其几乎不可能检测到甚至分析。

今年早些时候他开始查看代码时，只会导致他的电脑崩溃。有驱动程序级别的加密，必须解密，它是用汇编语言编写的，使用“意大利面代码结构”，这使Boldewin很难弄清楚软件实际上在做什么。

[进一步阅读：如何从Windows PC中删除恶意软件]

分析rootkit通常是Boldewin技术人员晚上的工作。然而，使用Rustock.C，花了数天的时间才弄清楚软件是如何工作的。

因为很难发现，德国IT服务提供商GAD的安全研究员Boldewin认为Rustock.C已经出现在防病毒产品开始检测之前将近一年。

这是带有rootkit的故事。他们鬼鬼祟祟。但是它们是一个主要威胁吗？
2005年底，Mark Russinovich发现了最着名的rootkit。有一天，当Windows安全专家Russinovich在他的电脑上发现一个rootkit时，他感到莫名其妙。经过一番调查之后，他最终发现索尼BMG音乐娱乐公司使用的复制保护软件实际上使用rootkit技术来隐藏自己的电脑。索尼公司的软件并没有设计为做任何恶意的事情，但它几乎无法被发现并且极难删除。

索尼的rootkit成为该公司的重大公关灾难，该公司花费数百万与受软件影响的用户达成法律和解。

三年后，微软技术研究员Russinovich仍然认为它是造成计算机用户最大麻烦的rootkit。但是索尼的rootkit也预示了反病毒厂商的问题。事实上，他们都没有注意到这个软件大约一年，这对安全行业来说是一个严重的黑眼圈。虽然他们在几年前的Unix机器上开始了，但在索尼的惨败之时，rootkit被认为是对于防病毒厂商而言，这是下一个重大威胁。安全研究人员探讨了使用虚拟化技术来隐藏rootkit，并辩论是否有一天能够创建一个完全无法检测到的Rootkit。
Russinoovich现在说，rootkit未能辜负他们的炒作。 “他们并不像大家所期望的那样流行，”他在接受采访时说。“

”当今的恶意软件运行与rootkit热潮持续不同，“他说。 “然后……恶意软件会在你的桌面上播放弹出窗口并接管你的浏览器，今天我们看到的是完全不同类型的恶意软件。”

今天的恶意软件在后台悄然运行，垃圾邮件或托管其令人讨厌的网站，受害者不知道发生了什么事。具有讽刺意味的是，尽管它们是为了逃避检测而建立的，但是最复杂的内核级别的rootkit往往非常令人难以置信地侵入，以至于引起了人们的注意，安全专家说。“为内核编写代码非常困难让你的电脑崩溃，“赛门铁克安全响应小组副总裁阿尔弗雷德·胡格说。 “你的软件可以非常轻松地将其他人加入其中。”

Huger同意，虽然rootkit对于Unix用户来说仍然是一个问题，但在Windows PC上它们并不普遍。

Rootkits的构成远远低于1％赛门铁克今天追踪的企图感染。至于Rustock.C，尽管赛门铁克的所有技术都非常成熟，但赛门铁克在野外只发现了它约300次。

“在整个恶意软件的范围内，这是一个非常小的部分，今天风险有限，”Huger说，“然而，并非所有人都同意赛门铁克的调查结果。 n.runs产品安全总监Thierry Zoller说，Rustock.C通过臭名昭着的俄罗斯商业网络广泛分发，并且感染最有可能成千上万。

“Rootkit被用来存取妥协的目标尽可能长久，从来没有广泛传播的目标，“他在通过即时消息进行的采访中表示，最终，罪犯可能会因为一个非常简单的原因而避免rootkit：他们只是不需要它们

黑客并没有采用偷偷摸摸的rootkit技术，而是开发了新的技术，使防病毒厂商很难说出他们的软件和合法程序之间的区别。例如，他们制作了数千个不同版本的恶意程序，每次都会弄乱代码，以便防病毒产品很难察觉它。

例如，在2007年下半年，赛门铁克跟踪了近50万新型恶意代码，比上半年增长136％。安全专家说，2008年这种情况更糟糕。

“我们碰到的东西并不复杂，”HBGary公司的首席执行官格雷格霍格伦德说，他是一家销售软件以帮助客户应对计算机入侵的公司。 “现在大部分的恶意软件都不会试图隐藏起来。”

例如，HB Gary的一名客户最近受到了有针对性的攻击。 Hoglund说，坏人们确切地知道他们想要什么，并且在进入网络之后，在公司的事件响应团队甚至可以到达之前将信息刷过。 “很明显，攻击者知道他们会很快逃脱数据，甚至不必躲藏。”