赛门铁克的安全专家本周发布警告，一种新型的Rootkit在广泛传播，采用的是一种旧方式进行隐秘的攻，控制运行Windows XP操作系统的机器。

        赛门铁克的安全响应部门表示，Trojan.Mebroot用自己独有的编码将用户硬盘主引导记录（MBR）进行修改。主引导记录是电脑硬盘上分段储存的重要组成部分。它包括运行操作系统的重要启动文件。

         根据赛门铁克安全响应部门博客中发布的信息，那些代替引导记录的恶意代码包含一个467kb大小的专门用于盗取资料的客户端，存储在硬盘的最后一个扇区。

        赛门铁克的安全专家Elia Florio在博客中指出：“Rootkit本身并不是一种新的威胁，但是当MBR成为感染的一部分后，它就变得不同寻常了。我们预测会有更多针对MBR的新变种出现。”

        Rootkit最初是由安全专家Matt Richard在一个病毒防御实验室中发现的。Richard说，第一波攻击是在12月12日，当时有1800个用户被感染。而第二波攻击则出现在12月19日，大约3000多的用户被感染。据Richard称反病毒厂商目前正探究Rootkit的组成。

         所采用的方法和2006年由安全专家Joanna Rutkowska所示范的“Blue Pill”相类似。当时，曾在波兰的华沙建立了Invisible Things试验室的Rutkowska，开发了一种“Blue Pill”，它能够制造假象让Rootkit和其他恶意软件逃过反恶意软件的检测器，包括当时微软即将推出的Windows Vista操作软件。Vista因此着手解决该安全漏洞。

        在2007年的黑帽大会上，Root Lab的安全专家Nate Lawson和赛门铁克的Peter Ferrie以及Matasano Security的Thomas Ptacek介绍了他们进行的一项研究，说明虚拟的Rootkit将都是以检测到。

        赛门铁克称，Trojan.Mebroot只能在XP中成功运行。专家们表示当系统在运行时，Rootkit不可能被移除。但如果用户的BIOS包括主引导记录的写保护性能，那么他们的电脑将受到保护。

微信公众号

TechTarget

官方微博

TechTarget中国