Rootkit現身IM　專家憂心

資訊安全公司FaceTime Communications萬聖節時發現到新的木馬變種病毒SDbot在AOL（美國線上）的IM（AIM）上作怪。值得注意的是，該病毒還帶有Rootkit程式。

首次在IM上被偵測到的這隻木馬名為W32/Sdbot-ADD，由於還帶有名為lockx.exe的rootkit程式，而引起了安全專家的注意。

所謂的Rootkit，是一種駭客的隱身工具套件，在惡意程式入侵電腦之後，可以藉此躲過電腦的偵測，掩護其活動。Rootkit源起於Unix環境，但是近來在Windows平台上也開始與一些惡意程式狼狽為奸。然而FaceTime表示，這是Rootkit首次出現在IM的攻擊上。

根據卡巴斯基在八月所公佈的一份報告指出，近來有越來越多惡意程式以rootkit做為掩護，原因除了「躲過偵測」本就是駭客的理想之外，網路上有許多現成的rootkit原始程式碼可取得也是主因。

FaceTime在10月28日的新聞稿中表示，這隻新發現的木馬程式利用AIM及AOL聊天室裡的好友名單（Buddy List）在傳播。而裡面的執行檔則讓駭客上傳、下載，及監視受感染的主機；該程式還試圖要關閉防毒軟體，企圖在主機上打開後門以安裝其他程式，如180Solutions、Zango、Freepod Toolbar、MaxSearch、Media Gateway，及SearchMiracle。

其行為模式還很類似廣告軟體或病毒，會將使用者的搜尋預設頁面改為www.eza1netsearch.com/sp2.php。而在安裝了惡意程式之後，會讓CPU的使用量達到100%。

美國科技媒體eWeek對此事件更指出，這種型態的IM攻擊，恐怕可能讓駭客接下來在IM網路上發動全自動化的病毒攻擊。eWeek引述Arbor Networks資深軟體工程師Jose Nazarin的話表示，這顯示出惡意程式的新趨勢：侵入系統、載入駭客工具（包括了rootkit及間諜程式），利用IRC網路控制殭屍網路（botnet），然後再繁殖。

「一但開始在AIM或MSN Messenger上看到這種攻擊，就等於是看到了全自動化的IM蠕蟲。目前為止雖然不知什麼原因而未大規模的發生，但遲早會有病毒作者開始突破技術障礙。」Nazarin表示。

破解該病毒的FaceTime資深研究員Chris Boyd也呼應了這個看法。他還指出：過去六個月以來，惡意程式作者開始從過去傳統的網頁轉移到新的傳播路逕，例如BitTorrent及IM。（編譯/郭和杰）