Win7之家( afsion.com.cn):Win7用戶(hù):別讓“萬(wàn)能鑰匙”打開(kāi)你的系統(tǒng)大門(mén)
IT之家訊 1月14日消息,戴爾 SecureWorks Counter Threat Unit(TM) (CTU) 安全小組發(fā)現(xiàn)一個(gè)名為Skeleton Key“萬(wàn)能鑰匙”的惡意軟件。該程序包含了安裝在Active Directory的流氓軟件,這個(gè)軟件可以在安裝后允許攻擊者以任何合法用戶(hù)的身份免認(rèn)證登錄服務(wù)器系統(tǒng)。值得注意的是,該軟件的安裝要求管理員權(quán)限或者利用服務(wù)器漏洞取得類(lèi)似權(quán)限。
有趣的是,“萬(wàn)能鑰匙”不是真的安裝在文件系統(tǒng)中,只是駐留Active Directory內(nèi)存進(jìn)程,這使得對(duì)其查殺更加困難。更困難的是,這一程序沒(méi)有登錄動(dòng)作并且完全保持靜默,所以用傳統(tǒng)方法極難檢測(cè)。
受影響的64位服務(wù)器系統(tǒng):
• Windows 2008 R2
• Windows Server 2008
• Windows 2003 R2
不過(guò),也有比較簡(jiǎn)單的方式可以和它對(duì)抗,那就是重啟系統(tǒng)。因?yàn)閷?duì)于內(nèi)存的程序和數(shù)據(jù)來(lái)說(shuō),斷電就意味著徹底消失。而且,要求管理員權(quán)限的行為本身就限制了其攻擊行為。不僅如此,戴爾的研究人員表示,“萬(wàn)能鑰匙”只能感染64位的Windows系統(tǒng)。如果服務(wù)器采用兩種以上的認(rèn)證方式,該惡意軟件的影響就大大降低。所以采用多重認(rèn)證并且及時(shí)重啟系統(tǒng)是抵抗這種惡意程序的有效方式。(Source:SecureWorks)