痛恨感冒病毒 - 2007-2-9 1:02:00
我和大家一样 也是中了Rootkit的变种“Rootkit.CallGate.l” 本以为可以清除的 可是走遍了很多论坛都无法解决! 今天无意间在瑞星网站里发现了微软的这篇文章 大家自己看看吧!! 我都彻底的失望了!
Rootkit:隐秘的黑客攻击
作者: 瑞星编译 来源: 微软
知识库编号: RSV0601415
内容分类: 木马病毒
关键词: Rootkit
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
Rootkit 基本上是无法检测到的,而且几乎不可能删除它们。虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。
Rootkit 是一种特殊类型的 malware(恶意软件)。Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的,而且几乎不可能删除它们。虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。
Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer。许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件。
Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行。攻击者可以找出目标系统上的现有漏洞。漏洞可能包括:开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统。在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个 Rootkit。这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统。
找出 Rootkit 十分困难。有一些软件包可以检测 Rootkit。这些软件包可划分为以下两类:基于签名的检查程序和基于行为的检查程序。基于签名(特征码)的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的 Rootkit。基于行为的检查程序试图通过查找一些代表 Rootkit 主要行为的隐藏元素来找出 Rootkit。一个流行的基于行为的 Rootkit 检查程序是 Rootkit Revealer.
在发现系统中存在 Rootkit 之后,能够采取的补救措施也较为有限。由于 Rootkit 可以将自身隐藏起来,所以您可能无法知道它们已经在系统中存在了多长的时间。而且您也不知道 Rootkit 已经对哪些信息造成了损害。对于找出的 Rootkit,最好的应对方法便是擦除并重新安装系统。虽然这种手段很严厉,但是这是得到证明的唯一可以彻底删除 Rootkit 的方法。
防止 Rootkit 进入您的系统是能够使用的最佳办法。为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略。深度防卫的要素包括:病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略。
关键词: Rootkit 发布时间: 2006-01-18 16:39:00
寻找北方的哥儿 - 2007-2-9 1:08:00
讲少了一些.
Rootkit 一般是在服务或驱动程序"生根",而为什么有些杀软能查到?而杀不到呢?
因为,他跟大部分的杀软都在同一层次上"工作"..——服务或驱动程序(诺盾可能可以杀,因为他在电脑最里面生根了。。。)
。。。。。。。讲不完//。。。。
guyun001 - 2007-2-9 1:20:00
我就中了这种病毒了,只有重装系统了??
痛恨感冒病毒 - 2007-2-9 10:03:00
真是郁闷啊~ 经过我的研究 Rootkit.CallGate.l 病毒 杀软报的是usbue.sys 这个文件 可是我觉得病毒的活体并不是他!! 现在如何能找到病毒的活体啊!! 哪位高手指点下! 谢谢了!
痛恨感冒病毒 - 2007-2-9 10:34:00
自己再顶!
我是小豆丁 - 2007-2-9 10:35:00
看来真的无望了
总让我重新申请 - 2007-2-9 10:38:00
瑞星...........无耐?还是无奈?
姑苏残月 - 2007-2-9 10:41:00
下载冰刃,强制删除杀软报的那个文件.还是不行的话,扫日志发上来
痛恨感冒病毒 - 2007-2-9 10:52:00
我都强制杀了N遍了! 如果这个病毒这么好清理的话还至于论坛里这么多人都在喊如何清理啊?1楼说的很有道理! 杀软报的只是被Rootkit感染的文件 你删了它等从起后病毒又被驱动或服务所激活!所以现在要找的是病原!!杀软报的并不是病原!! 而且很有可能病原在扩散!为啥瑞星就没有一个专杀软件呢????
IGaara - 2007-2-9 11:26:00
呵呵,别费力了
如果那么容易清理的
咱当初也不会使用这东西了
呵呵。
虽然很久不弄这些偷偷摸摸的事情了
不过rootkit的确是我当初很看重的软件
基本上很多高手在入侵服务器后都回留下自己的rootkit
除非n 到一定程度。
反正我当初的想法就是,
除非你重装,别的我什么都不怕你的东西
不过现在技术那么发达,不知道有没有好的对策,呵呵
之所以选择放在服务器里,第一服务器不是每天都有人看管,第二服务器不出问题也没人看管,这东西本来就不是那么容易看到的,所以也就在系统里落家乐,再说一台服务器N年都不会重装一次,再者说,即使重装也是先备份然后在。。。。。
呵呵有意思
o李南南o - 2007-6-9 2:09:00
========Content========
这个病毒是可以清除的.下载一个Unlocker和瑞星一起使用即可删除.先用瑞星杀毒在重启后删除那行上右键选查找目标文件.在目标文件上右健选Unlocker在弹出对话上选全部解锁即弹出瑞星对话选清除病毒或删除即可.
轩辕小聪 - 2007-6-9 4:28:00
请慎用公告标题。
对于大家的抱怨,我只能很遗憾地说,大家实在“太懒了”。
http://forum.ikaka.com/topic.asp?board=28&artid=8237996
http://forum.ikaka.com/topic.asp?board=28&artid=8168839
http://forum.ikaka.com/topic.asp?board=28&artid=8162080
http://forum.ikaka.com/topic.asp?board=28&artid=8156736
http://forum.ikaka.com/topic.asp?board=28&artid=8149966
以上是从Rootkit.CallGate.a开始,这个系列病毒的查杀方法。
这个病毒的特点很“鲜明”:
1.注册表项在
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
这个路径中;
2.注册表路径
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
可能有load键,键值非空;
3.可能将原QQ的TIMlatform.exe改名为Mlatfrom.exe,并将病毒主程序复制为TIMlatform.exe。
有了这些特征,查杀这个病毒就并不困难了吧?!
只要通过第1个特点,按照其启动项位置,就可以找到其主程序的文件名路径了。
然后就是关闭QQ,删除文件(只不过文件名不一样而已,步骤跟以前的变种应该是一样的),重命名QQ原文件。
这个老毒最近又出来溜达,其实没有什么新意。只要大家学会举一反三。
PS:以上几个帖子,是我临时从baohe大叔以前的帖子里翻出来的。遇到问题时,怎么搜索已有的资料去解决,我想是不是还需要提醒一下大家?
newcenturymoon - 2007-6-9 8:58:00
不同的rootkit有着不同的方法 有的杀毒特别简单 有的则很难 不能以偏概全
loveperday - 2007-6-9 9:15:00
一切皆有法。。。嘿嘿~
© 2000 - 2026 Rising Corp. Ltd.