Nové hrozby pre počítače používateľov sú stále dokonalejšie. Ako sa proti nim brániť?
Rôzne počítačové červy či iné druhy záškodníckych aplikácií preberajú metódy dômyselného skrývania sa pred antivírusovými, antispywareovými a ďalšími bezpečnostnými aplikáciami od takzvaných rootkitov. Viaceré druhy rootkitov možno pritom odhaliť len špeciálnym softvérom, aj to zďaleka nie vždy.
Sober, Myfip, Rbot a ďalší
Stratégiu "blokovania I/O", bežne používanú rootkitmi, majú v obľube mnohé červy, píše Eweek. Tá síce nezabráni detekcii infikovaného e-mailu antivírusmi, no pokiaľ sa predsa len červu podarí systém nejakým spôsobom infikovať, skenovanie pamäte ho už neodhalí. Kontrolu súborov na disku zase zrejme väčšina užívateľov s ochranou na pozadí pravidelne nespúšťa. Spomínanú taktiku používa napríklad červ Sober a jej implementácia sa s každou jeho novou verziou zlepšuje.
Populárnou studnicou vedomostí je open-source ukážka rootkitu s názvom FU. Inšpiroval sa ňou napríklad najnovší variant červa Myfip s označením "h" - dokáže meniť dáta v kerneli systému, vďaka čomu sa dokáže celkom dobre ukryť. Podobne je zlepšovaný i rozšírený záškodnícky program Rbot, ktorého autor síce očividne nemá veľa skúseností v tejto oblasti, stačí mu však, že vie skopírovať kód z FU.
Odhaľovanie skutočných rootkitov
Detekcia červov používajúcich "rootkitovské" triky nie je ešte v súčasnosti náročná, na rozdiel od neustále sa zlepšujúcich rootkitov (najmä bežiacich v kernel-móde). Aj špecializovaným nástrojom na ich odhaľovanie dokážu prejsť cez rozum na prvý pohľad pomerne jednoduchými trikmi. Napríklad kontrolujú názvy procesov a zakážu spustenie tým z pripraveného "zoznamu odhaľovačov rootkitov". Niektoré obranné utility sa preto uchýlili k nevšednej veci - spúšťajú sa pod náhodnými názvami. V prípade ďalších pomôže užívateľom obyčajné manuálne premenovanie nástroja.
Odborníci poznamenávajú, že v boji detekčných utilít s rootkitmi sa víťaz pravidelne a rýchlo mení - po zaistení detekcie nejakého rootkitu príde jeho autor onedlho opäť s niečím novým.
Ako sa chrániť
Väčšinu rootkitov dokáže odhaliť freewareový nástroj RootkitRevealer, či rôzne platené nástroje bežiace na pozadí, napríklad UnHackMe (skúšobná doba 30 dní, po jej vypršaní ďalej pracuje, no pripomína nutnosť registrácie) alebo F-Secure BlackLight, ktorého aktuálna testovacia betaverzia vyprší v posledný júnový deň (ale dovtedy by mali byť dostupné ďalšie). Niekoľko rootkitov vraj odhalí aj Windows Malicious Software Removal Tool od Microsoftu.
Ďalšie nástroje zameriavajúce sa na zisťovanie prítomnosti špecifických typov rootkitov nájdete na stránkach internetového magazínu o rootkitoch - Rootkit.com. Stránky prinášajú aj novinky z oblasti, podrobné návody a aj samotné rootkity.
Autor: erik
Najdôležitejšie správy z východu Slovenska čítajte na Korzar.sme.sk.