Rootkity: śpij spokojnie. Nawet jeśli je masz, są dobrze ukryte

Rok temu mało kto rozpoznawał słowo "rootkit". Dziś, po olbrzymiej aferze związanej z instalującymi rootkity płytami Sony, po wielu mniejszych bataliach z firmami produkującymi spyware ukrywający się we wszystkich zakamarkach systemu, wreszcie po ujawnionej niedawno niezbyt chlubnej działalności Norton SystemWorks, każdy użytkownik komputera na dźwięk słowa "rootkit" zaczyna drżeć o bezpieczeństwo swojej maszyny. Jak to jest z aplikacjami, które chowają w systemie swoje pliki? Czy czysty Windows ma już jakieś sekrety? Czy Microsoft po cichu zbiera dane z wszystkich maszyn na świecie? Z naszych testów wynika, że rozsądny użytkownik raczej nie ma się czego bać.

Kiedy z premierą Windows XP wyszło na jaw, że w domyślnej konfiguracji OS-a uruchomiona jest usługa QoS (Quality of Service) rezerwująca fragment pasma sieciowego dla krytycznych aplikacji systemowych, na Redmond posypały się gromy. Pojawiły się doniesienia, że XP wysyła tajne informacje do Microsoftu, że zablokowane zostało pełne pasmo, by system zawsze mógł komunikować się ze swoim twórcą.

Po pewnym czasie narzekania ucichły. Jednak o ukrytych elementach systemu stawało się głośno przy każdej większej aferze związanej z nowym wirusem, rootkitem instalującym się z płyt czy programem narzędziowym, który bez wiedzy użytkownika chował swe pliki w zakamarkach folderów systemowych.

Sprawdzamy to

Czysty Windows XP tuż po instalacji

Czysty Windows XP tuż po instalacji

Postanowiliśmy sprawdzić, ile rzeczy ukrywa się w systemie operacyjnym podczas jego eksploatacji. Eksperyment wygląda następująco: instalujemy "czysty" system Windows XP Home Edition (w wersji angielskiej) na komputerze z Athlonem XP, kartą Nvidia GeForce MX440, dyskiem twardym Seagate. Zanim podłączymy go do sieci, instalujemy również Service Pack 2. Na każdym kroku sprawdzamy, czy w systemie nie pojawiło się coś, co wygląda podejrzanie. Mogą to być ukryte pliki, katalogi, biblioteki schowane przed API, ale widoczne na dysku itd.

Naszym pomocnikiem będzie doskonały program Rootkit Revealer, którym posłużył się Mark Russinovich, by zbadać sprawę podejrzanych płyt Sony (patrz artykuł: "DRM z kompaktów instaluje rootkity").

Warto przy okazji powiedzieć o dwóch założeniach, których nie będziemy tu dyskutować. Po pierwsze: ufamy, że Microsoft nie tworzy warstw, które ukrywają się przed absolutnie wszystkim; ufamy, że system nie chowa przed nami czegoś piekielnego; ufamy, bo wiemy, że takie postępowanie szybko wyszłoby na jaw, a to się gigantowi z Redmond zupełnie nie opłaca.


Zobacz również