舊瓶新裝的惡意軟體手法(上)

2008-06-05
Bootkit rootkits是一種能夠由任何一種設備的開機磁區啟動的rootkits,事實上已經成為防毒產業於2008年初的一個主要的挑戰。雖然目前所投入去解決這方面的問題的資源並不多,而且這類的問題尚未被太多的人得知,但卻可能在不久的將來影響到每個使用者。
▲奕瑞科技總經理張義淵

就在2007年的十一月,或者更正確地說,在2005年時這樣的手法就已被發現。但事實上這兩個時間點都不正確。22年前(1986年),第一個相容於IBM的病毒Brain被偵測到,這個病毒能夠感染開機磁區,並在數個月之內就擴散到全世界。在當時,大部分的專家僅告知如何解決病毒所造成的問題,而未告知人們應該注意電腦安全的事宜。  

此後的十年間,開機型病毒成為全球最廣為流傳的惡意程式手法之一。這類的病毒運作的方式非常簡單,利用演算法使其在開機或者重新啟動時開始執行。在大多數的案例中,當病毒感染之後,會將原本的開機磁區或MBR移到其他的磁碟磁區中,因此程式開發員開始設計針對開機磁區的保護措施。隨著Windows 95/98的出現,磁碟片的使用漸漸的消失,在多重因素下,開機型病毒也漸漸失去了舞臺而走入歷史。  

2005年兩位eEye Digital Security的研究員提出了BootRoot的概念技術,這個技術可以加入一段程式碼於磁碟機的開機磁區中,將可中斷Windows核心的開機並且開啟一個後門,而使得這個電腦在區域網路中被遠端控制。  

這個技術吸引了許多人的關注,並且很快的被證實。在2006年1月時, Next-Generation Security Software的John Hesman宣稱管理電腦電源供應(Advanced Configuration and Power Interface,ACPI)功能,使得有心人士能夠利用程式碼執行rootkits並且存入BIOS的的快閃記憶體中。而存在於 BIOS中的惡意程式碼將更不容易遭到偵測並可直接開啟後門。Hesman並且也撰寫了一段概念性質的程式碼能夠提升系統的權限並且讀取電腦記憶體中的資料。  

2007年的年底,Nitin和Vipin Kumar兩位印度的程式設計師發表了Vbootkit,一種能夠由任何設備中的開機磁區啟動的rootkit,這個程式也能夠在Windows Vista中運作,這段原始碼並未被公開,但是交給了某些防毒軟體公司。撰寫者也表示下個版本的Bootkit中將可造成對BIOS的感染。換句話說,這樣的發展並不令人驚訝,一個以往能夠影響開機磁區的技術結合了現今流行的Rootkits手法。  

就現實來說,幾乎現今所有的防毒軟體公司都能夠掃描磁碟的開機磁區,但仍舊不容易偵測到系統的功能是否已經被中斷或者替換。事實上,作業系統中的防毒軟體甚至也很難察覺一個在作業系統啟動前就已經開始運作的後門。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!