Eksperci ostrzegają przed "niewidzialnym" rootkitem

Specjaliści z firm Symantec i F-Secure poinformowali o wykryciu nowego typu rootkita, który jest wyjątkowo trudny do wykrycia i może - zdaniem ekspertów - zwiastować nową falę niebezpiecznych ataków z wykorzystaniem "niewidzialnych" narzędzi.

Mowa to u rootkicie nazywanym Backdoor.Rustock.A (przez specjalistów z firmy Symantec) lub Mailbot.AZ (wedle nomenklatury F-Secure). I choć w kwestii nazwy istnieją rozbieżności, to eksperci z obu firm są zgodni, gdy mówią o niebezpiecznym potencjale nowego rootkita. "To bardzo niebezpieczny program - z pierwszych analiz wynika, że potrafi on skutecznie schować się przed wszystkimi popularnymi narzędziami do wykrywania rootkitów. Po zainstalowaniu się w systemie jest po prostu niewidzialny" - tłumacz Elia Florio z Symanteka. "Aplikacje służące do wykrywania niebezpiecznych programów w systemie mają twardy orzech do zgryzienia" - wtóruje Antti Tikkanen z F-Secure.

Eksperci tłumaczą, iż nowy rootkit jest wyjątkowo trudny do wykrycia m.in. dlatego, że nie uruchamia własnego procesu, nie "podczepia się" pod żadne natywne API, zaś funkcje kernela kontroluje przez specjalnie napisane funkcje. Co więcej - Rustock.A/Mailbot.AZ - sprawdza co pewien czas, czy w systemie nie został uruchomiony program do wykrywania rootkitów. Jeśli tak - zmienia swoje zachowanie tak, by uniknąć wykrycia.

Elia Florio przypuszcza, że rootkit napisany został przez rosyjskich programistów. Eksperci sądzą, że jest to na razie jedynie swego rodzaju prototyp - ich zdaniem, wkrótce możemy spodziewać się całej fali nowych zagrożeń, wykorzystujących niewykrywalny rootkit.