Rootkity: śpij spokojnie. Nawet jeśli je masz, są dobrze ukryte

Po drugie: ufamy Russinovichowi, że jego narzędzie nie działa przeciwko nam. Nie możemy kwestionować wszystkiego, bo musielibyśmy zakwestionować również nasze podejście do rzeczywistości. Założenie to może wygląda na pseudofilozoficzny bełkot, warto jednak pamiętać, iż ufać nie można tak naprawdę nikomu - giganci robią swoje, póki nie podniesie się krzyk zawiedzionych użytkowników. Trudno jest ufać nawet Nortonowi (patrz artykuł: "Norton SystemWorks ukrywał wirusy?"). Co gorsza: wiele funkcjonalności tzw. programów zabezpieczających lada dzień może okazać się bardzo podejrzanych (o innych tego typu aplikacjach piszemy również w artykule: "Rootkit na śniadanie (cz. II)"). Przejdźmy jednak do konkretów.

Symantec i Kaspersky pod ostrzałem

Mark Russinovich nie próżnuje. Po wykryciu niechlubnych działań stosowanych przez oprogramowanie zaszyte w płytach Audio CD firmy Sony, postanowił przyjrzeć się software'owi Symanteka i Kaspersky Labs. Obydwie firmy stosowały w swym oprogramowaniu techniki, które ukrywały niektóre pliki przed okiem użytkownika albo nawet przed systemem Windows. Przykładem jest choćby wspominany już chroniony kosz z Norton SystemWorks: zaszyte w jego wnętrzu pliki były widoczne tylko dla tej aplikacji, która wiedziała, że powinna ich tam szukać. Gdyby wewnątrz schował się wirus, są spore szanse, że nie zostałby wykryty przez program antywirusowy inny niż Norton Antivirus. Albo w ogóle nie zostałby wykryty. Należy jednak podkreślić, że w tej chwili Symantec udostępnił już uaktualnienia wyłączające niebezpieczne funkcje.

Bardzo podobne metody stosował Kaspersky w przypadku sum kontrolnych plików w pakiecie Kaspersky Anti-Virus 5. Pomagały one skanerowi w weryfikacji, które dokumenty zostały przeskanowane, a które należy poddać badaniu. Przedstawiciele firmy twierdzą, że nie jest to błąd czy dziura, która może wyrządzić komputerowi użytkownika jakiekolwiek szkody. Russinovich się jednak nie zgadza: skoro istnieje miejsce, w którym można ukryć pliki przed Windows, dlaczego włamywacz miałby z niego nie skorzystać? Jego zdaniem nie jest najlepsze postępowanie - chodzi bowiem nie tylko o bezpieczeństwo przeciętnych użytkowników, ale także administratorów sieci, którzy powinni wiedzieć o wszystkim, co pojawia się na podlegających im komputerach.

Przedstawiciele Kaspersky Labs wydali dziś oświadczenie, zgodnie z którym firma nie stosowała nigdy rootkitów.

Czysty system Windows

Rootkity: śpij spokojnie. Nawet jeśli je masz, są dobrze ukryte

Skanowanie czystego systemu Rootkit Revealerem

W czystym systemie Windows XP tuż po instalacji nie ukrywa się właściwie nic. Na dysku gromadzone są co prawda pliki mające ułatwiać optymalizację ułożenia programów (widać je z poziomu systemu, nie widać z poziomu MFT), jednak nie powinny one stanowić większego zagrożenia dla naszej maszyny. Łącznie są takie dwa, czyli raczej niewiele. Oczywiście z czasem pojawiłoby się ich więcej.

Ciągle nie podłączamy komputera do Internetu. Z płyty CD instalujemy Service Pack 2. Jako że potrwa to dłuższą chwilę, pozwolimy sobie na ucieczkę w małą dygresję. Posłuchajmy najpierw specjalisty:

O rootkitach mówi Jakub Dębski z firmy ArcaBit

O ile wykrycie wirusa jest bardzo wysoce prawdopodobne dzięki różnorodnym metodom heurystycznym, to jednak dobrze napisany rootkit, stworzony do spersonalizowanego ataku na dany komputer, jest praktycznie nie do wykrycia. Jeżeli zostanie zainstalowany poprzez dziurę w oprogramowaniu i będzie istniał jedynie w pamięci, będzie się komunikował z atakującym poprzez ukryte kanały komunikacyjne (covert channels). Wtedy wykrycie go jest bardzo, bardzo trudne, choć nie niemożliwe.