【转帖】“隐形”rootkit现身 “百分之百无法被检测到” 安全研究人员发现了一种几乎可以完全“隐形”的新型rootkit后门软件，大大提高了防护软件检测、清除的难度。 这种被赛门铁克称为Backdoor.Rustock.A、被F-Secure称为Mailbot.AZ的rootkit使用了一系列新技术，并结合已有技术，在被感染的系统(即使是Windows Vista Beta)中安装后可有效逃避大多数安全软件的检测，被视为“新一代rootkit的先锋”。 据介绍，该rootkit的主要“隐形”技术有：与NTFS交替数据流(ADS)技术结合、运行在驱动程序和内核线程中而没有自己的线程、不与任何原生API挂接、通过特殊的中断要求封包(IRP)来控制系统内核功能、将自己完全从内核结构中移除、SYS内核驱动每次都会改换代码、扫描已运行的rootkit检测工具。 F-Secure表示，其rootkit扫描工具BlackLight 2.2.1041可以检测到这种新型rootkit，但还很难达到有效地随时检测、清除的目的。 赛门铁克认为这种rootkit来自俄罗斯，而且其代码显示可能很快会出现新的变种。赛门铁克计划将其称为Backdoor.Rustock.B。 一名安全研究人士表示，她已经开发出一种新的恶意软件，“百分之百无法被检测到”。 专门为IT机构COSEINC从事恶意软件方面研究的Joanna Rutkowska说，利用AMD的SVM/Pacifica虚拟化技术，她得出了“蓝色药丸(Blue Pill)”概念，并开发出一种非常隐蔽的管理程序，可以控制整个操作系统。 Rutkowska计划在7月21日的新加坡SyScan大会和8月3日的洛杉矶Black Hat Briefings安全大会上展示这种新概念，包括一个运行在Windows Vista x64上的程序原型。 Rutkowska说，她将演示一种通用方法，可以在Windows Vista Beta 2 x64系统内核中插入任意代码，并且无需利用任何漏洞。这种方法甚至能绕过Vista中的反rootkit机制，即使后者要求内核模式软件必须载入数字签名。 Rutkowska称，只有一种情况下能够检测到她的恶意软件——AMD的虚拟化技术出问题的时候。