Rootkit - od dawna znany i wciąż niebezpieczny

Coraz więcej firm produkujących oprogramowanie antywirusowe przyznaje się do tego, że ich produkty nie radzą sobie najlepiej z zagrożeniami ze strony rootkitów. Te niewielkie programy ukrywają niebezpieczny kod nie tylko przed użytkownikiem, ale także przed antywirusem. Uruchamiany w czasie startu, wgrany do pamięci operacyjnej, wpisany do rejestru albo zmieniający jądro systemu - to tylko niektóre jego oblicza. Zobacz jak możesz się przed nim obronić.

Inżynierowie Microsoftu na początku 2005 r. ostrzegali przed nowym rodzajem zagrożenia i trudnością w walce oraz wykrywaniu. Do czasu pojawienia się rootkitów obecność szkodników w systemie oceniano np. na podstawie analizy procesów. Jednak rootkit potrafi być bardzo sprytny i wyglądać zupełnie niewinnie. Administrator analizując poszczególne usługi i procesy nie ma z nim żadnych szans, bo jak tu sprawdzić, czy popularna usługa lub proces nie jest "fałszywy"? Wbrew pozorom nie jest to bolączka systemu Windows, bo rootkity świetnie sobie radzą w środowisku Linux czy Solaris. Nawet Windows Vista, pomimo tego, że będzie działać dużo stabilniej dzięki restrykcjom dotyczącym uruchamiania kodu programów w trybie jądra, nie gwarantuje zabezpieczenia przed szkodnikami typu spyware, robakami internetowymi czy wreszcie rootkitom. Czytaj więcej w publikacji Will Vista fix the virus problem?

Rodzaje rootkitów:

W magazynie PC World Komputer przygotowaliśmymy zestawienie programów wykrywających rootkity oraz przegląd typów zagrożeń. Pełna treść artykułu dostępna jest tutaj.

Persistent rootkit

Jest wczytywany podczas uruchamiania systemu operacyjnego. Swój kod ukrywa w rejestrze lub w systemie plików i uaktywnia się automatycznie, gdy włączasz komputer.

Memory rootkit

Zapisuje swój kod tylko w pamięci RAM.

Virtualised rootkit

Operuje na najniższym poziomie. Modyfikuje sekwencję startową tak, że podczas uruchamiania komputera wczytuje się zamiast oryginalnego systemu operacyjnego i dopiero wtedy inicjuje wczytanie systemu operacyjnego jako maszyny wirtualnej.

Kernel rootkit

Działa na nieco wyższym poziomie, modyfikując fragmenty jądra systemu lub dodając do niego nowe porcje własnego kodu.

Library rootkit

Modyfikuje działające w trybie użytkownika wywołania systemowe (funkcje systemu, z których korzystają programy) w taki sposób, aby ukryć obecność swoją czy innego szkodnika w komputerze.

Application rootkit

Działa na najwyższym poziomie, modyfikując kod popularnych aplikacji, zmieniając ich działanie czy dodając funkcjonalność konia trojańskiego.

Wykrywanie

Nawet najbardziej skuteczne narzędzia mogą sobie nie poradzić z wykrywaniem zagrożeń, dlatego najlepszą metodą wykrywania jest takie sprawdzenie systemu, aby maksymalnie uniezależnić program wykrywający od rootkita. Dlaczego? Rootkity są na tyle cwane, że mogą zmodyfikować popularne narzędzia antywirusowe tak, aby wskazywały, że nic się nie dzieje złego.

Idealnym rozwiązaniem jest uruchomienie komputera z płyty live CD, na której znajduje się antywirus wraz z aktualnymi sygnaturami. Przykładem takiego narzędzia jest G Data Internet Securiy 2007. Po włożeniu płyty do napędu i odpowiedniej modyfikacji BIOS (CD ROM musi ładować system jako pierwszy napęd) uruchomisz dystrybucję Linux pozwalającą na połączenie się z Internetem (natychmiastowa aktualizacja baz) oraz zawierającą skaner antywirusowy. Więcej na ten temat znajdziesz w teście G Data Internet Security 2007 - test programu. Innym rozwiązaniem jest wymontowanie całego dysku i podłączenie go do innego komputera. Dzięki temu "podejrzany" system operacyjny nie będzie miał absolutnie żadnego wpływu na wynik inspekcji. Możesz również skorzystać z darmowych narzędzi, pamiętając jednak o wadach i zagrożeniach takich aplikacji.

Wpadka Sony

Wielka firma fonograficzna musiała zapłacić 1,5 mln dolarów odszkodowania za wykorzystywanie rootkitów w zabezpieczeniach płyt CD Audio. Twórcy tego typu zabezpieczenia tłumaczyli się, że ukrywanie działania mechanizmu zabezpieczeń przed kopiowaniem miało jedynie utrudnić bądź uniemożliwić w ogóle złamanie tegoż mechanizmu. Sony BMG dodaje, że oprogramowanie można łatwo odinstalować konsultując się z biurem obsługi klientów wytwórni. Sąd w Stanach Zjednoczonych miały inne zdanie...

Więcej na ten temat znajdziesz w materiałach:

DRM z kompaktów instaluje rootkity

Sony: 1,5 mln USD kary za rootkity


Zobacz również