第一个全内核级rootkit网络现身

2007年7月3日 | 分类: 信息安全 | 标签: , ,

第一个全内核级rootkit网络现身Symantec最近发现了一个新木马Trojan.Srizbi,这个木马有一些很独特的功能,它的驱动windg48.sys有两个功能:用rootkit技术隐藏自身以及发送垃圾邮件.但是十分特殊的一点是该木马是第一个被发现在非试验室环境下传播的全内核级别的恶意程序
该木马在被安装后,所有的动作都在内核模式下完成,包括发送垃圾邮件,没有任何用户模式下的操作.Rootkit代码并不是什么新玩意:驱动将自身附加在\FileSystem\Ntfs来隐藏本地硬盘上的文件,修改SDT来隐藏注册表.同时,该木马试图删除%System%\Minidump日志文件以及通过一种特别的途径卸载其他竞争对手的rootkit,比如”wincom32.sys”和”ntio256.sys”
最有意思的代码是在它发送垃圾邮件的途径中.众所周知从内核里直接调用网络功能是十分复杂的,同时我们过去所面对的众多rootkit里,比如Haxdoor, Rustock和Peacomm等,总是自带一个用户模式下的组件,该组件会被插入一些WNDOWS的进程.
Trojan.Srizbi在这个基础上更进一步,完全在内核里实现上述网络功能而无需在用户模式下插入任何进程.为了在内核里直接操纵网络连接,木马依附在NDIS和TCP/IP驱动并直接从此获取所需的Ndis* 和Zw* 函数,这是木马最独特的地方.这种手段也让该木马不被防火墙和嗅探工具发现,隐藏自身所有的网络活动.
我们猜测该木马现在还是在Beta测试阶段,因此用户还是可以通过搜索以下注册表键值来找到一些被安装该木马的蛛丝马迹(这些键值并未被隐藏):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RcpApi\”MachineNum”=”[六位随机数字- 六位随机数字- 二位随机数字]”
我们猜测Trojan.Srizbi与Rustock是同一个作者所编写的,因为在Trojan.Srizbi里面使用的变形加密代码与Backdoor.Rustock.B的加密代码十分相似,但是更加复杂.
毋庸置疑,我们肯定会再次碰上这个木马的新版变种.
文章节选编译自Spam from the Kernel: Full-Kernel Malware Installed by MPack
作者Kaoru ayashi

  1. 2007年7月4日18:39

    不知道卡巴斯基能不能挡住啊……

  2. 531
    2007年7月2日22:04

    怎么删除它呢 ?