中国图形江湖 高级搜索
收藏本站
RSS订阅
网站地图
大蜘蛛成功侦查病毒Win32.Ntldrbot
刊发时间:2008-05-09 来 源:中国职业资料库 作 者:中国职业资料库 点击:
编者按:《大蜘蛛成功侦查病毒Win32.Ntldrbot》这篇文章由『中国文章库』收集整理。本页图片默认最小化,看大图请刷新。以下为正文——

  Dr. Web有限公司是俄罗斯一家IT-安全解决方案提供商,商标是Dr.Web,发布了Dr.Web扫描器新版本,新版本可以成功侦查Win32.Ntldrbot(aka Rustock.C)并且可以治愈被rootkit感染的系统文档。

  近日,全球因垃圾邮件三十周年纪念日的召开而沸腾异样,从Hormel Foods罐装火腿的骚扰广告到未被允许的群发邮件,这些问题正逐渐演变为一个世界范围的问题。很多人注意到我们的流量莫名其妙的增加了,专家评定我们电子信件中的90%是无关的骚扰。Win32. Ntldrbot是垃圾邮件制造者活动泛滥背后的原因之一。

  Win32.Ntldrbot的主要任务是感染计算机,是把计算机转向垃圾邮件蠕虫的蠕虫网—巨大的垃圾邮件网络。然而,rootkit却不能被侦查到。而且,这种行为在2007年10月已经开始了!据安全工作网站称,由Rustock构建的蠕虫是第三大威胁,每天散发大约300亿的垃圾邮件信息,大部分是关于证券和医药类的。

  rootkit的开发者在2005年末或者2006年初开始测试新的技术来阻止网络驱动的功能,并隐藏于系统,当恶意程序的第一个beta版出现后,Rustock.B也在2006年活动了。它可以迂回在防火墙之内,并隐藏垃圾邮件流量。反病毒产品的供应商很容易就会扫描出并清除rootkit的变体。

  然而,它的另一个变体--- Win32.Ntldrbot,成为了一个艰难的问题。反病毒厂商和病毒制造者都无法获得恶意程序的样本。并没有相关证据来证实此病毒的存在。所以在蠕虫被显示前, 大部分反病毒产品供应商宣称这个恶意程序根本不存在,并称追逐不存在的病毒是没有意义的。

  现在,Win32.Ntldrbot成为了事实。
大蜘蛛

  一些反病毒实验室看到了这些病毒并不放弃,最后努力的搜索终于有了结果。自从2008年初,Dr.Web有限公司通过分析发现,自Win32.Ntldrbot以来已经过去了18个月,这期间rootkit在妥协的计算机上疯长并传播蠕虫。假定恶意程序已经从2007年10月自由传播并且不可视,你可以估计一下被感染流量的数量。

  Dr.Web有限公司的病毒监视器发现了rootkit的大约600个样本。没有人知道还有多少存在。我们花费了几周时间来分析这些病毒,改进侦查技术。

  Win32.Ntldrbot 的一些特征:

  1. 病毒使用了多态性rootkit技术使自己难于被分析和提取

  2. 做为底层驱动程序被加载

  3. 保护自己在运行时不被改变

  4. 使用了反调试技术,监控硬件断点设置,中断系统级别调试操作(比如Syser, SoftIce),当病毒运行时,WinDbg调试器将无法工作

  5. 使用非正常方法截取系统函数

  6. 具有文件型病毒功能并可以感染系统驱动程序

  7. 每个rootkit病毒都会根据被感染的计算机硬件进行相应的调整,它将无法运行在其它计算机上。

  8. 使用时间触发器技术防止重复感染

  9. 过滤掉对感染文件的调用,通过截取FSD文件系统监视器,更改文件调用流程,使用原始文件来替代对感染文件的调用

  10. 针对anti-rootkit技术具有自我保护功能

  11. 将病毒库文件注入到系统进程中,并开始发送垃圾邮件。 驱动程序使用特殊的命令传输机制连接到这个DLL文件。

  更多关于Win32.Ntldrbot (aka Rustock.C)的信息:

  Win32.Ntldrbot在没有被反病毒产品发现的情况下,隐藏了相当长一段时间。这就意味着没有人可以保证你的机器未被感染,可能恶意程序已经变成了一种蠕虫,并且正在发送垃圾邮件。

  详细信息请登陆道特韦伯(北京)信息技术有限公司 官方网站 www.drweb.com.cn 下载Dr.Web大蜘蛛反病毒2008专业版来扫描你的电脑并治愈被Win32.Ntldrbot感染的系统文档。
更多资源

最新评论    共有 0 位网友发表了评论         查看所有评论
    查看评论内容
图片资料
中国职业资料库版权与免责声明
1、本网所发布的一切资源,旨在服务网友,其来源包括收集、原创、分享等途径,如果您认为触犯到您的权益,请来信批评指正。
2、凡转载自其他媒体,或为网友投稿的资料,其目的在于促进信息交流,并不代表本网赞同其观点和对其内容的真实性负责。 
3、如因作品内容、版权或其他问题需要同本网联系,请在30日内进行。联系QQ:946734
相关文章

♀ 木马肆虐应该如何应对?    (07-25)

♀ 假如江民2008是   (06-11)

♀ 05.21病毒快报:天眼广告控制后门   (05-24)

♀ 解决卡巴斯基误杀导致winnet丢失   (05-24)

♀ 5.19病毒快报:办公室伪装者   (05-24)

♀ 怎样才能彻底屏蔽恶意网站地址?   (05-24)

♀ QQ尾巴广告器骗用户点击挂马网址   (05-24)

♀ 仿冒腾讯建立诈骗网页利用震灾敛   (05-24)

♀ 播放器漏洞下载者用漏洞下载病毒   (05-24)

♀ 小偷下载器下载大量木马程序   (05-24)

♀ 卡巴斯基近20种实用使用方法放送   (05-11)

♀ 文件夹邮递员伪装文件夹发送病毒   (05-11)

♀ 大蜘蛛成功侦查病毒Win32.Ntldrb   (05-09)

♀ 梦幻西游盗号木马下载病毒并盗号   (05-07)

♀ 瑞星杀毒2008主动防御的详细设置   (05-07)

♀ 卡巴斯基6.0key杀毒软件下载   (05-07)

♀ 卡巴斯基6.0下载卡巴斯基6.0key   (05-07)

♀ 卡巴斯基Kaspersky 6.0半年免费   (05-07)

♀ VBS脚本病毒原理分析与防范 (1   (05-07)

♀ 104种木马的清除方法   (05-07)

  
其他栏目

♀ 如何能够快速检测定位出局域网中   (05-07)

♀ KV2005应用技巧两则   (05-07)

♀ 提升权限 把无法删除的病毒扫地   (05-07)

♀ 熊猫还未走 灯泡男出现 完整解决   (05-07)

♀ 小木马 变种修改Host文下载木马   (05-07)

♀ 卡巴斯基Kaspersky 6.0半年免费   (05-07)

♀ 企业级用户“MSN小尾巴”解决   (05-07)

♀ 从原理上扼杀传播病毒的恶意网页   (05-07)

♀ 加壳与脱壳 杀毒软件新技术的意   (05-07)

♀ 精心设置卡巴斯基 加快杀毒速度   (05-07)

♀ “QQ叛徒”病毒的查杀方法   (05-07)

♀ symbians60病毒介绍和处理方法大   (05-07)

♀ 俄罗斯黑客利用“睡眠虫“病毒偷   (05-07)

♀ 秘籍:瑞星2005优化宝典   (05-07)

♀ 瑞星企业12月05日发布 每日计算   (05-07)

♀ 大家注意新QQ尾巴病毒   (05-07)

♀ 杀毒软件遭绑架用户计算机集体裸   (05-07)

♀ 网民使用U盘须小心 谨防木马来   (05-07)

♀ MSN尾巴的克星——MyIM   (05-07)

♀ 近期计算机病毒三最 高危病毒变   (05-07)

  
故事大全

♀ 回头的爱   (08-26)

♀ 回头的爱   (08-26)

♀ 猪八戒探亲   (08-12)

♀ 不知错的吴志   (08-12)

♀ 阿P的小聪明   (08-12)

♀ 哭嫁   (08-12)

♀    (08-12)

♀ 房子有鬼   (01-01)

♀ 红包缘   (08-12)

♀ 猛男兄   (08-12)

♀ 真假难辨   (08-12)

♀ 中学趣事(八) 不想结婚   (08-12)

♀ 阿风擒贼记   (01-01)

♀ 厕所问题   (08-12)

♀ 歪打正着   (08-12)

♀ 阿P重庆当棒棒   (08-12)

♀ 高档身份   (08-12)

♀ “精包装”征婚   (08-12)

♀ 难忘的地理课   (08-12)

♀ 中学趣事(九) 中老年妇女的偶   (08-12)