木马病毒采用“Rootkit”　实现“视觉隐藏”

一个可同时将用户的“QQ”、网游帐号、银行密码、邮箱密码等私人信息一并盗取的“通用型”木马病毒近期“肆虐”网络。

该木马病毒由一对名为Rootkit.Win32.Delf.l 和 Trojan-PSW.Win32.Delf.eve的盗号木马组成，由于其隐身能力超强，用户一但中此木马，从键盘输入的所有密码信息均有被盗取的危险。此木马病毒采用了“Rootkit”技术，实现了“视觉隐藏”，使得普通用户基本无法查找到木马程序文件，从而给用户带来极大的安全隐患。

据微点反病毒专家介绍，此木马极为狡猾，利用了Rootkit手段来保护自身的木马病毒文件，其所用的“Rootkit”驱动文件采用了随机产生的1-9位可变文件名用以恶意干扰用户进行辨识，受到“Rootkit”视觉隐藏技术保护的盗号木马程序Trojan-PSW.Win32.Delf.eve，即使利用WINDOWS的文件夹功能进行查找、选择“显示所有文件”等方法，依然无法看到该木马程序，从而实现了木马程序视觉上的完全隐身。

对于此类有“Rootkit”进行保护的盗号木马，极大地增加了分析和清除的难度。对于一般用户来说，基本无法通过手工进行清除。建议广大用户使用带有行为分析技术的主动防御软件，利用“行为杀毒”强大的系统分析能力，彻底清除此例Rootkit盗号木马，如微点主动防御软件，主动防御安全软件可以在未升级的情况下对该病毒做到很好的查杀效果。（如图1、2）

图1为具有主动防御功能的安全软件的报警图

图2为微点升级后已知特征报警图

相关名词解释：Rootkit

Rootkit出现于二十世纪90年代初，字面上讲是一种系统级管理工具，实际上是一种黑客使用的系统内核级别的恶意工具，最常见的应用就是隐藏木马行踪——完全隐藏木马程序文件、进程和注册表，并且可以使常规系统分析工具失效，无法捕捉到任何蛛丝马迹。针对Rootkit使用驱动技术的特点，对Rootkit的检测和清除需要使用更高水准的驱动级编程技术，深入系统内核进行分析判断。对Rootkit的检测和清除技术是当前国际反病毒行业的前沿技术。