Ukryte zagrożenie

Szkodniki nowego typu rozprzestrzeniają się za pośrednictwem Internetu. Maskują się tak doskonale, że tylko w nielicznych wypadkach są wykrywane przez programy antywirusowe. Wyjaśniamy, na czym polegają, i pokazujemy, jak się przed nimi bronić.

Szkodniki nowego typu rozprzestrzeniają się za pośrednictwem Internetu. Maskują się tak doskonale, że tylko w nielicznych wypadkach są wykrywane przez programy antywirusowe. Wyjaśniamy, na czym polegają, i pokazujemy, jak się przed nimi bronić.

Oprogramowanie antywirusowe ma bronić twój komputer przed szkodliwym kodem. Tymczasem nie może spełniać tego zadania, jeśli do systemu zakradnie się tzw. rootkit. Intruz tego typu potrafi tak sprytnie ukrywać w systemie wirusy, niepożądaną reklamę bądź elementy szpiegujące (a nawet zabezpieczenia przed kopiowaniem), że nie sposób ich wytropić konwencjonalnymi środkami. Z lektury tego artykułu dowiesz się, na jakich zasadach działają rootkity, dlaczego producenci oprogramowania antywirusowego przegapili nowe zagrożenie i jak używać specjalnych narzędzi, aby je wykryć w komputerze.

Zarażony co piąty komputer

Ciągły wzrost - jak informuje Kaspersky, z miesiąca na miesiąc pojawia się coraz więcej rootkitów.

Ciągły wzrost - jak informuje Kaspersky, z miesiąca na miesiąc pojawia się coraz więcej rootkitów.

Niedawno środowisko komputerowe poruszył komunikat Microsoftu. Niektóre źródła ostrzegały: "Co piąty komputer jest zainfekowany!". Wygląda to na masowe rozprzestrzenianie się szkodników. Mowa o liczbach podawanych przez narzędzie Microsoft Windows do usuwania złośliwego oprogramowania (Malicious Software Removal Tool, dostępne pod adresem http://www.microsoft.com/poland/security/virus/malware.mspx , rozmiar pliku: 1,09 MB), które szuka w pececie robaków i niektórych rozpowszechnionych rootkitów. Jego nowa wersja ukazuje się co drugi wtorek miesiąca. Gdy wspomniane narzędzie ujawni intruza w badanym komputerze, wysyła za zgodą użytkownika raport do Microsoftu. Właśnie według tych danych, w co piątym komputerze drzemie rootkit. Jednak trudno o wiarygodne szacunki, w jak wielu pecetach zagnieździły się rootkity, bo wielu użytkowników wcale nie korzysta z programu Malicious Software Removal Tool, a jeśli nawet to nie wyrażają zgody na wysłanie raportu do Microsoftu. Niemniej stopień rozpowszechnienia jest bez wątpienia bardzo znaczny - przypuszczalnie są zarażone miliony pecetów.

Sztuka kamuflażu

W świecie komputerów z zainstalowanym systemem operacyjnym Windows rootkit to nic innego, jak aplikacja, która wgrywa do komputera określone pliki i maskuje je przed użytkownikiem. W ten sposób dostają się do komputera przede wszystkim szkodliwe treści - chociażby trojany czy moduły szpiegujące (spyware). Szczególne zainteresowanie wzbudził ten temat pod koniec 2005 roku w związku z płytami kompaktowymi wytwórni Sony BMG, której zabezpieczenia przed kopiowaniem trafiły do pecetów właśnie za pośrednictwem rootkitów. Upłynęły długie miesiące, nim sprawa wyszła na jaw.

Wspólną cechą wszystkich rootkitów jest to, że wtrącają się w komunikację pomiędzy aplikacją i systemem operacyjnym. Odfiltrowują informacje, których aplikacja żąda od systemu. Zależnie od sposobu realizowania tej czynności wyróżnia się dwa rodzaje rootkitów.

Pierwszą grupę stanowią rootkity, które niepostrzeżenie wdzierają się głęboko w struktury systemu. Instalują sterownik, który pośredniczy między dwiema warstwami funkcji systemowych, zmieniając informacje przekazywane z jednej warstwy do drugiej. Rootkity osadzające się w jądrze (tzw. kernelu) systemu operacyjnego, są określane mianem rootkitów jądra. Infekując komputer, rootkit kopiuje na twardy dysk np. pliki szkodnik.exe, szpieg.dll i fragmenty swojego kodu, a następnie modyfikuje jądro systemu tak, aby pliki te nie były widoczne dla użytkownika - ani w oknach Eksploratora, ani żadnego innego menedżera plików. Zamaskowane mogą wyrządzać w pececie praktycznie dowolne szkody.

Druga ze wspomnianych grup działa na płaszczyźnie aplikacji. Rootkity tego typu manipulują procesami (uruchomionymi programami) w pamięci RAM, zatajając w ten sposób przed aplikacjami część zamówionych przez nie informacji. Za przykład może posłużyć FURootkit, który ukrywa bieżący proces intruza - między innymi znika on z listy procesów wyświetlanej w oknie Menedżera zadań. W rezultacie procesu tego nie może zablokować ani użytkownik, ani zainstalowane przez niego oprogramowanie zabezpieczające komputer przed szkodnikami.

W czym niebezpieczeństwo?

Narzędzie Blacklight firmy F-Secure wykryło w tym systemie ukrytego intruza Hacker Defender.

Narzędzie Blacklight firmy F-Secure wykryło w tym systemie ukrytego intruza Hacker Defender.

Rootkity cieszą się rosnącym powodzeniem u internetowych przestępców, bo skuteczny kamuflaż zapewnia im możliwość niezauważonego działania przez długi okres. Z czasem pojawiły się nawet pakiety, które pozwalają projektować i tworzyć intruzy tego typu bez dużej wiedzy z zakresu programowania. Są stosowane do maskowania trojanów, a także modułów reklamowych (adware) i szpiegujących (spyware). Poniżej przedstawiamy kilka przykładów.

W minionych miesiącach krążyły w Niemczech wiadomości pocztowe, których załącznik miał rzekomo zawierać rachunek telefoniczny. W treści listu wymieniano stosunkowo wysoką kwotę do zapłaty, co skłaniało adresatów do otwierania załącznika. W rzeczywistości krył się w nim rootkit. Uaktywniając go, użytkownik inicjował zainstalowanie trojana w swoim komputerze.

Tymczasem robak Sdbot.add rozpowszechnia się za pośrednictwem komunikatora AOL Instant Messenger (AIM). W zarażonym komputerze wysyła do wszystkich osób z listy znajomych krótki komunikat zawierający łącze. Gdy odbiorca je kliknie, pobierze robaka, który zmodyfikuje różne zapisy w rejestrze, zainstaluje element BHO (Browser Helper Object) w Internet Explorerze i wgra do peceta liczne programy adware i spyware z Internetu. Dla niepoznaki zainstaluje najpierw rootkit o nazwie Lockx.EXE - to właśnie w nim tkwi szkodliwy kod.

Jednym z największych utrapień internautów stał się moduł szpiegowski dostający się do komputera za pomocą trojana CWS (Cool Web Search). Jego nowsze wersje zawierają funkcje, które w bardzo dużym stopniu przypominają działanie rootkitów. Mają za zadanie ukrywać przed użytkownikiem pliki programów, które notorycznie zapełniają jego ekran irytującymi reklamami w wyskakujących oknach.

Dlaczego producenci zaspali?

Oprogramowanie antywirusowe to bardzo wyspecjalizowane narzędzia. Analizuje pliki wykonywalne, porównując ich treść z bazą sygnatur. Gdy wykryje zbieżność, intruz zostaje zdemaskowany i usunięty.

Opisana metoda była w ubiegłych latach ogromnie skuteczna. Niemal wszystkie kursujące wirusy były zwykłymi plikami EXE i nie mogły się ukryć w systemie. Nie zarażały innych plików ani nie umieszczały swojego kodu w danych użytkownika. Odmiennie niż w początkowych latach historii wirusów poszukiwanie zainfekowanych plików i skomplikowane ratowanie ich stało się zbyteczne. Wobec tego tylko nieliczne programy antywirusowe są wyposażone w dopracowane mechanizmy do wyszukiwania i oczyszczania zarażonych plików.

Gdy mniej więcej rok temu pojawiły się pierwsze groźne rootkity działające w środowisku Windows, większość producentów oprogramowania antywirusowego nie widziała w nich większego niebezpieczeństwa. W końcu nawet rootkit dostaje się do komputera w postaci pliku EXE, powiedzmy Rootkit.exe. Plik ten musi - podobnie jak każdy intruz - zostać uruchomiony przez użytkownika lub uaktywnić się dzięki luce w systemie Windows i narzędzia antywirusowe mogą go bez problemu wykryć oraz zablokować jego wykonywanie. Dlatego producenci uznali, że rootkity nie powodują dodatkowego zagrożenia i nie wymagają wprowadzania nowych zabezpieczeń.

Lecz co się stanie w wypadku, gdy Rootkit.exe nie figuruje jeszcze w bazie sygnatur aplikacji antywirusowej? Wówczas plik może się uruchomić, zainstalować w systemie np. trojana, zamaskować go przed użytkownikiem, a następnie samodzielnie się usunąć. W systemie nie pozostanie żaden widoczny szkodnik w postaci pliku EXE, który mógłby zostać wykryty i unieszkodliwiony przez oprogramowanie antywirusowe.

Dzięki ich zdolności doskonałego maskowania się w systemie, należy założyć, że miną dni, tygodnie, a może nawet miesiące, zanim producenci aplikacji antywirusowych zobaczą nowy egzemplarz. Zatem upłynie znacznie więcej czasu niż w wypadku konwencjonalnego wirusa, nim stosowna sygnatura trafi do bazy danych.

Reasumując: specjaliści od zabezpieczeń zbagatelizowali niebezpieczeństwo. Wyjątek stanowi F-Secure. Ten producent oferuje już od marca 2005 r. narzędzie Blacklight Rootkit Eliminator (bezpłatna wersja beta dostępna pod adresem: http://www.f-secure.com/blacklight/ ). Wchodzi ono również w skład bieżących wersji skanerów antywirusowych F-Secure.

Na tropie łobuzów

RootKit Hook Analyzer szuka aplikacji, które podłączają się do kanałów komunikacyjnych.

RootKit Hook Analyzer szuka aplikacji, które podłączają się do kanałów komunikacyjnych.

W poszukiwaniu rootkitów, które zakamuflowały się w systemie, nie możesz polegać na większości programów antywirusowych. Chcąc zbadać, czy twój komputer został zarażony takim szkodnikiem, nie obejdziesz się bez specjalnego oprogramowania. Każdemu z nich brakuje trochę do doskonałości, zatem postanowiliśmy nie poprzestawać na zaprezentowaniu tylko jednego. Wspomniany powyżej Blacklight i oba narzędzia Microsoftu, ułatwią ci zadanie, bo zapewniają mechanizmy do usuwania rootkitów z systemu. Pozostałe programy powiadamiają jedynie o ukrytych plikach. Czy są one niebezpieczne, musisz sprawdzić na własną rękę w Internecie.

Blacklight fińskich specjalistów w zakresie antywirusów F-Secure wykrywa wiele zainstalowanych rootkitów i oferuje możliwość ich usunięcia. Ze strony producenta można pobrać bezpłatnie zaktualizowaną wersję beta, która działa przez kilka tygodni. Black-light nie znajduje, niestety, wszystkich ujawnionych dotychczas rootkitów.


Zobacz również