最近出現了新品種的 rootkit,Rustock,目前熱門的反 rootkit 工具都無法找到它,它使用的新技術除了將自身隱藏在 NTFS 檔案系統的 alternate data stream(ADS)當中(在 system32 這個資料夾的 ADS 上!真狡猾),甚至能夠阻擋能夠檢查 ADS 的工具查到它處於系統裡面。下面是 F-Secure 與 Symantec 最近分別對 Rustock 的分析。
* Symantec Security Response - Backdoor.Rustock.B
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.rustock.b.html
* Hiding the Unseen
http://www.f-secure.com/weblog/archives/archive-062006.html#00000907
