Vista UAC ujawnia rootkity

Mechanizm kontroli kont (UAC) zawiera cechę, która odróżnia go od wszystkich innych programów zabezpieczających Windows - może wykrywać rootkity przed ich zainstalowaniem.

Taki wniosek można wyciągnąć z wyników testów skuteczności programów antywirusowych w zakresie wykrywania rootkitów, przeprowadzonych przez AV-Test.org i opublikowanych w dwóch niemieckich czasopismach komputerowych.

Wyniki nie były zbyt pomyślne dla produktów zorientowanych na Windows XP czy Vista. Z trzydziestu rootkitów "przepuszczonych" przez skanery antymalware dla XP, żaden z siedmiu testowanych zestawów antywirusowych nie zidentyfikował wszystkich. To samo dotyczy sześciu skanerów online. Jedynie cztery z 14 specjalistycznych narzędzi do zwalczania roootkitów osiągnęło najwyższą punktację.

Najlepsze wyniki osiągnął Avira AntiVir Premium Security Suite wykrywając 29 rootkitów, podczas gdy Norton zaledwie 18. Narzędzia specjalizowane do walki z rootkitami spisały się lepiej - AVG Anti-Rootkit Free, GMER, Rootkit Unhooker i Trend Micro Rootkit Buster wykryły wszystkie rootkity. Punkty za usuwanie natomiast były niejednolite - w krańcowym przypadku nie usunięto żadnego wykrytego rootkita.

Wyniki dla Vista były trudniejsze do oceny, ponieważ tylko sześć rootkitów mogło pracować na tej platformie, ale w tym celu testujący musieli wyłączyć UAC. UAC sam ujawnił je wszystkie na wejściu.

Jedynie trzy z 17 narzędzi antywirusowych dla Vista zarówno wykryły jak i usunęły te rootkity - F-Secure Anti-Virus 2008, Panda Security Antivirus 2008 i Norton Antivirus 2008.

Po osiągnięciu peceta rootkit może spokojnie się w nim schować, ale wpierw musi się tam dostać. Dopóki użytkownik uważnie reaguje na prompty z systemu UAC, jak również komunikaty te nie są w jakiś sposób sfałszowane, rootkit ma niezwykle utrudnione zadanie, aby dostać się do peceta bez zwrócenia uwagi.

To, że UAC może powiadomić użytkownika, kiedy rootkit próbuje się zainstalować, samo w sobie nie jest niespodzianką, ponieważ Vista jest podobno zaprojektowany od podstaw do przechwytywania wszystkich żądań aplikacji.

Celem rootkita jest znalezienie obejścia systemu operacyjnego. Z chwilą zainstalowania, może on wykonać dowolną akcję - np. załadowania innego kodu złośliwego z pozycji programu uprzywilejowanego. W testach użyto też trzech próbek rootkitów, które były legalnymi programami, zaprojektowanymi w celu zapobiegania nielegalnemu kopiowaniu nośników (najbardziej znany to rootkit Sony XCP/First4Internet).

Przy wielu słowach krytyki pod adresem bezpieczeństwa Vista, jedno osiągniecie wydaje się być bezsporne: UAC jest efektywnym narzędziem, które może być użyte do powstrzymania automatycznego zainfekowania rootkitem.


Zobacz również