Dr. Web有限公司是俄羅斯一家IT-安全解決方案提供商，商標(biāo)是Dr.Web，發(fā)布了Dr.Web掃描器新版本，新版本可以成功偵查Win32.Ntldrbot(aka Rustock.C)并且可以治愈被rootkit感染的系統(tǒng)文檔。

　　近日，全球因垃圾郵件三十周年紀(jì)念日的召開而沸騰異樣，從Hormel Foods罐裝火腿的騷擾廣告到未被允許的群發(fā)郵件，這些問題正逐漸演變?yōu)橐粋�(gè)世界范圍的問題。很多人注意到我們的流量莫名其妙的增加了，專家評(píng)定我們電子信件中的90%是無關(guān)的騷擾。Win32. Ntldrbot是垃圾郵件制造者活動(dòng)泛濫背后的原因之一。

　　Win32.Ntldrbot的主要任務(wù)是感染計(jì)算機(jī)，是把計(jì)算機(jī)轉(zhuǎn)向垃圾郵件蠕蟲的蠕蟲網(wǎng)?巨大的垃圾郵件網(wǎng)絡(luò)。然而，rootkit卻不能被偵查到。而且，這種行為在2007年10月已經(jīng)開始了!據(jù)安全工作網(wǎng)站稱，由Rustock構(gòu)建的蠕蟲是第三大威脅，每天散發(fā)大約300億的垃圾郵件信息，大部分是關(guān)于證券和醫(yī)藥類的。

　　rootkit的開發(fā)者在2005年末或者2006年初開始測(cè)試新的技術(shù)來阻止網(wǎng)絡(luò)驅(qū)動(dòng)的功能，并隱藏于系統(tǒng)，當(dāng)惡意程序的第一個(gè)beta版出現(xiàn)后，Rustock.B也在2006年活動(dòng)了。它可以迂回在防火墻之內(nèi)，并隱藏垃圾郵件流量。反病毒產(chǎn)品的供應(yīng)商很容易就會(huì)掃描出并清除rootkit的變體。

　　然而，它的另一個(gè)變體--- Win32.Ntldrbot，成為了一個(gè)艱難的問題。反病毒廠商和病毒制造者都無法獲得惡意程序的樣本。并沒有相關(guān)證據(jù)來證實(shí)此病毒的存在。所以在蠕蟲被顯示前， 大部分反病毒產(chǎn)品供應(yīng)商宣稱這個(gè)惡意程序根本不存在，并稱追逐不存在的病毒是沒有意義的。

　　現(xiàn)在，Win32.Ntldrbot成為了事實(shí)。

　　一些反病毒實(shí)驗(yàn)室看到了這些病毒并不放棄，最后努力的搜索終于有了結(jié)果。自從2008年初，Dr.Web有限公司通過分析發(fā)現(xiàn)，自Win32.Ntldrbot以來已經(jīng)過去了18個(gè)月，這期間rootkit在妥協(xié)的計(jì)算機(jī)上瘋長(zhǎng)并傳播蠕蟲。假定惡意程序已經(jīng)從2007年10月自由傳播并且不可視，你可以估計(jì)一下被感染流量的數(shù)量。

　　Dr.Web有限公司的病毒監(jiān)視器發(fā)現(xiàn)了rootkit的大約600個(gè)樣本。沒有人知道還有多少存在。我們花費(fèi)了幾周時(shí)間來分析這些病毒，改進(jìn)偵查技術(shù)。

　　Win32.Ntldrbot 的一些特征:

　　1. 病毒使用了多態(tài)性rootkit技術(shù)使自己難于被分析和提取

　　2. 做為底層驅(qū)動(dòng)程序被加載

　　3. 保護(hù)自己在運(yùn)行時(shí)不被改變

　　4. 使用了反調(diào)試技術(shù)，監(jiān)控硬件斷點(diǎn)設(shè)置，中斷系統(tǒng)級(jí)別調(diào)試操作(比如Syser, SoftIce)，當(dāng)病毒運(yùn)行時(shí)，WinDbg調(diào)試器將無法工作

　　5. 使用非正常方法截取系統(tǒng)函數(shù)

　　6. 具有文件型病毒功能并可以感染系統(tǒng)驅(qū)動(dòng)程序

　　7. 每個(gè)rootkit病毒都會(huì)根據(jù)被感染的計(jì)算機(jī)硬件進(jìn)行相應(yīng)的調(diào)整，它將無法運(yùn)行在其它計(jì)算機(jī)上。

　　8. 使用時(shí)間觸發(fā)器技術(shù)防止重復(fù)感染

　　9. 過濾掉對(duì)感染文件的調(diào)用，通過截取FSD文件系統(tǒng)監(jiān)視器，更改文件調(diào)用流程，使用原始文件來替代對(duì)感染文件的調(diào)用

　　10. 針對(duì)anti-rootkit技術(shù)具有自我保護(hù)功能

　　11. 將病毒庫(kù)文件注入到系統(tǒng)進(jìn)程中，并開始發(fā)送垃圾郵件。 驅(qū)動(dòng)程序使用特殊的命令傳輸機(jī)制連接到這個(gè)DLL文件。

　　更多關(guān)于Win32.Ntldrbot (aka Rustock.C)的信息:

　　Win32.Ntldrbot在沒有被反病毒產(chǎn)品發(fā)現(xiàn)的情況下，隱藏了相當(dāng)長(zhǎng)一段時(shí)間。這就意味著沒有人可以保證你的機(jī)器未被感染，可能惡意程序已經(jīng)變成了一種蠕蟲，并且正在發(fā)送垃圾郵件。

　　詳細(xì)信息請(qǐng)登陸道特韋伯(北京)信息技術(shù)有限公司 官方網(wǎng)站 www.drweb.com.cn 下載Dr.Web大蜘蛛反病毒2008專業(yè)版來掃描你的電腦并治愈被Win32.Ntldrbot感染的系統(tǒng)文檔。