在上一期中提到,Bootkit rootkits已經成為防毒產業於2008年初的一個主要的挑戰。雖然目前所投入用來解決這方面的問題的資源並不多,而且這類的問題尚未被太多的人所得知,但是這個部份卻可能在不久的將來影響到每一個使用者。
回溯2007年底,Nitin和Vipin Kumar這兩位印度程式設計師發表了Vbootkit,這個程式能夠在Windows Vista中運作,雖然這段原始碼並未被公開,而是交給了某些防毒軟體公司。但撰寫者也表示下個版本的Bootkit將可造成對BIOS的感染。
Vbootkit後端的主要規則顯示如下:
| BIOS --> Vbootkit code --> MBR --> NT Boot sector --> Windows Boot manager --> Windows Loader --> Vista Kernel. |
 |
| ▲奕瑞科技總經理張義淵 |
以上的所有描述正在訴說著一個大炸藥可能隨時爆炸。而在2007年11月這個炸藥已經開始被製作,雖然直到12月底的時候,這個消息才被注意,但是已經有數千位的使用者遭受Bootkit攻擊。
在12月19~28日期間,有數個網站使用偷渡式下載的方式進行感染(在網站上植入攻擊程式來感染電腦,然後下載惡意程式)。詳細分析惡意程式後發現,惡意程式碼能感染MBR與硬碟磁區。一旦受害者電腦遭受入侵,惡意程式碼便能修改MBR,將rootkits寫入其他磁區中,接著解壓縮本身所含的Windows後門程式並進行安裝,最後自行刪除程式碼。
當惡意程式碼感染MBR時會下達指令,將控制權交給散布在數個硬碟磁區內的 rootkits(rootkits不會以檔案的型式存在系統中),並且對已載入的Windows作業系統進行監控,讀取時,它會隱藏受感染的MBR與磁區,顯示出未受「感染」的假象。同時透過封鎖及替換系統功能的方式,便可達到此目的。
除了能隱藏在系統之外,惡意程式碼還會將後門程式下載到Windows作業系統中,小至使用者資料,大至線上銀行系統,皆是竊取的目標。根據偵測到rootkits變種所重建的事件,以及分析受感染網站與從這些網站下載的惡意程式碼,結果顯示自2007年11月開始,未知的病毒撰寫者已經準備好將惡意程式碼發送到世界各地。自11月中至12月中旬已經發現了好幾個惡意程式的新變種,雖然程式碼中含有嚴重的錯誤,但這些新型變種已具有實質的破壞力,而這也表示病毒撰寫者正在尋找最佳的變種。
在12月底出現的惡意程式碼已具有相當的破壞力。我們將同時含有Bootkit以及後門程式功能的惡意程式歸類為Backdoor.Win32.Sinowal,這是因為後門程式中有許多功能與Trojan-PSW.Win32.Sinowal完全一樣,連「刪除」程式碼的方式也都相同。