比Rootkit更狠的病毒:Bootkit格式化硬盘都没用

一款新发现的bootkit 可感染计算机最底层软件,且在计算机开机时,Windows作业系统还没载入前即开始执行,而且至少今年初就已经开始活动。

之前造成为害甚烈的Nemesis恶意软件套件就有bootkit,虽然它目前只锁定金融机构,但如果将bootkit的功能加入到普及性的软件中,更多产业机构将难逃被入侵的威胁。

Bootkit最可怕的地方在于它载入恶意程序的速度比Windows本身载入时间更快,使Windows程序难以辨识出恶意活动,所以移除它更困难,就算重灌作业系统也没用。它很像NSA攻击,即使磁碟全部格式化也杀不死,但到目前为止我们知道,大部份情况下攻击者必须要能渗透到受害对象的硬件才行。如果被它渗透进计算机,这只纯软件病毒就能安装在很隐密的角落,永远不被发现。

这只病毒被安全人员称为Bootrash,它可感染计算机的主开机纪录(Master BootRecord, MBR),后者含关于磁碟分区的基本信息,以及如何初始化主要磁区的基本程序码。Nemesis是安装在磁区之间的空隙,而Bootrash则是在系统启动时,注入在还在载入中的Windows程序中。在某种程度上,对Windows来说,这个开始时程序码的集结过程是它执行的基础,怎料它却在Windows开始执行之前就变成恶意程序的藏匿所?

唯一能以防毒软件将bootkit从计算机驱逐出去的方法,是针对所有RAW磁碟内容整批扫瞄,而非扫瞄正在进行中的活动。这是很花时间的事,尤其是大型连 服务器有太多储存区可以藏匿,而且这类扫瞄需占用相当资源及运算时间。大部份扫毒软件都不会检查Windows登录档(registry)或是由Bootrash建立自我躲藏的虚拟档案系统中–防范这类攻击需要全新的数位安全策略。

要知道,bootkit的目标不只是银行或信用卡交易纪录,它们基本上是技术更高超的rootkit,从Sony到美国政府都曾经使用。bootkit比rootkit更难以杀死,但也使黑客无法自圆其说–你还可以说是出于善意而安装rootkit,但bootkit则绝对是对使用者有目的而来。任何安装bootkit的一般企业如果被发现,将可能要付上天价的代价。

不过值得一提的是,如果计算机没有给bootkit接触的机会,就不会有事。bootkit可能是高深的超级计算机病毒,但它接触到目标计算机的方法,则和过去的恶意程序差不多:象是以电子邮件或 交媒体传送鱼叉式 钓讯息来欺骗个人上当。安全产业固然必须发展出更新、更厉害的防范技术,但安全教育及健康的上 习惯更是企业不可或缺的防线,做得愈多,损失愈少。

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2015年11月13日
下一篇 2015年11月13日

相关推荐