Rootkit - od dawna znany i wciąż niebezpieczny
-
- Robert Ścisłowski,
- 29.01.2007, godz. 12:37
Coraz więcej firm produkujących oprogramowanie antywirusowe przyznaje się do tego, że ich produkty nie radzą sobie najlepiej z zagrożeniami ze strony rootkitów. Te niewielkie programy ukrywają niebezpieczny kod nie tylko przed użytkownikiem, ale także przed antywirusem. Uruchamiany w czasie startu, wgrany do pamięci operacyjnej, wpisany do rejestru albo zmieniający jądro systemu - to tylko niektóre jego oblicza. Zobacz jak możesz się przed nim obronić.
W magazynie PC World Komputer przygotowaliśmymy zestawienie programów wykrywających rootkity oraz przegląd typów zagrożeń. Pełna treść artykułu dostępna jest tutaj.
Persistent rootkit
Jest wczytywany podczas uruchamiania systemu operacyjnego. Swój kod ukrywa w rejestrze lub w systemie plików i uaktywnia się automatycznie, gdy włączasz komputer.
Memory rootkit
Zapisuje swój kod tylko w pamięci RAM.
Virtualised rootkit
Operuje na najniższym poziomie. Modyfikuje sekwencję startową tak, że podczas uruchamiania komputera wczytuje się zamiast oryginalnego systemu operacyjnego i dopiero wtedy inicjuje wczytanie systemu operacyjnego jako maszyny wirtualnej.
Kernel rootkit
Działa na nieco wyższym poziomie, modyfikując fragmenty jądra systemu lub dodając do niego nowe porcje własnego kodu.
Library rootkit
Modyfikuje działające w trybie użytkownika wywołania systemowe (funkcje systemu, z których korzystają programy) w taki sposób, aby ukryć obecność swoją czy innego szkodnika w komputerze.
Application rootkit
Działa na najwyższym poziomie, modyfikując kod popularnych aplikacji, zmieniając ich działanie czy dodając funkcjonalność konia trojańskiego.
Wykrywanie
Nawet najbardziej skuteczne narzędzia mogą sobie nie poradzić z wykrywaniem zagrożeń, dlatego najlepszą metodą wykrywania jest takie sprawdzenie systemu, aby maksymalnie uniezależnić program wykrywający od rootkita. Dlaczego? Rootkity są na tyle cwane, że mogą zmodyfikować popularne narzędzia antywirusowe tak, aby wskazywały, że nic się nie dzieje złego.
Idealnym rozwiązaniem jest uruchomienie komputera z płyty live CD, na której znajduje się antywirus wraz z aktualnymi sygnaturami. Przykładem takiego narzędzia jest G Data Internet Securiy 2007. Po włożeniu płyty do napędu i odpowiedniej modyfikacji BIOS (CD ROM musi ładować system jako pierwszy napęd) uruchomisz dystrybucję Linux pozwalającą na połączenie się z Internetem (natychmiastowa aktualizacja baz) oraz zawierającą skaner antywirusowy. Więcej na ten temat znajdziesz w teście G Data Internet Security 2007 - test programu. Innym rozwiązaniem jest wymontowanie całego dysku i podłączenie go do innego komputera. Dzięki temu "podejrzany" system operacyjny nie będzie miał absolutnie żadnego wpływu na wynik inspekcji. Możesz również skorzystać z darmowych narzędzi, pamiętając jednak o wadach i zagrożeniach takich aplikacji.
Wielka firma fonograficzna musiała zapłacić 1,5 mln dolarów odszkodowania za wykorzystywanie rootkitów w zabezpieczeniach płyt CD Audio. Twórcy tego typu zabezpieczenia tłumaczyli się, że ukrywanie działania mechanizmu zabezpieczeń przed kopiowaniem miało jedynie utrudnić bądź uniemożliwić w ogóle złamanie tegoż mechanizmu. Sony BMG dodaje, że oprogramowanie można łatwo odinstalować konsultując się z biurem obsługi klientów wytwórni. Sąd w Stanach Zjednoczonych miały inne zdanie...
Więcej na ten temat znajdziesz w materiałach:
