Win7用戶：別讓“萬(wàn)能鑰匙”打開(kāi)你的系統(tǒng)大門

Win7之家（ afsion.com.cn）：Win7用戶：別讓“萬(wàn)能鑰匙”打開(kāi)你的系統(tǒng)大門

IT之家訊 1月14日消息，戴爾 SecureWorks Counter Threat Unit(TM) (CTU) 安全小組發(fā)現(xiàn)一個(gè)名為Skeleton Key“萬(wàn)能鑰匙”的惡意軟件。該程序包含了安裝在Active Directory的流氓軟件，這個(gè)軟件可以在安裝后允許攻擊者以任何合法用戶的身份免認(rèn)證登錄服務(wù)器系統(tǒng)。值得注意的是，該軟件的安裝要求管理員權(quán)限或者利用服務(wù)器漏洞取得類似權(quán)限。

有趣的是，“萬(wàn)能鑰匙”不是真的安裝在文件系統(tǒng)中，只是駐留Active Directory內(nèi)存進(jìn)程，這使得對(duì)其查殺更加困難。更困難的是，這一程序沒(méi)有登錄動(dòng)作并且完全保持靜默，所以用傳統(tǒng)方法極難檢測(cè)。

受影響的64位服務(wù)器系統(tǒng)：

• Windows 2008 R2

• Windows Server 2008

• Windows 2003 R2

不過(guò)，也有比較簡(jiǎn)單的方式可以和它對(duì)抗，那就是重啟系統(tǒng)。因?yàn)閷?duì)于內(nèi)存的程序和數(shù)據(jù)來(lái)說(shuō)，斷電就意味著徹底消失。而且，要求管理員權(quán)限的行為本身就限制了其攻擊行為。不僅如此，戴爾的研究人員表示，“萬(wàn)能鑰匙”只能感染64位的Windows系統(tǒng)。如果服務(wù)器采用兩種以上的認(rèn)證方式，該惡意軟件的影響就大大降低。所以采用多重認(rèn)證并且及時(shí)重啟系統(tǒng)是抵抗這種惡意程序的有效方式。（Source：SecureWorks）