Ежедневное электронное издание о российском Интернете
Набор «Оператор ПК»
Обычному пользователю термин «руткит» (от англ. root kit, т.е. «набор для получения прав root») не скажет ровным счетом ничего – для неспециалистов существует емкое слово «компьютерный вирус». Но, по сути, руткит – все же не вирус, а программа (или набор программ) для скрытого контроля над взломанной системой. Времена, когда юный хакер обозначал проникновение массовым удалением данных или надписью «Здесь бы Вася» во весь Рабочий стол, ушли практически безвозвратно – теперь гораздо выгоднее тайно использовать зараженный компьютер для собственных нужд.
В общем случае, руткит занимается перехватом и модификацией системных функций (Windows API), что позволяет ему скрывать свое присутствие в системе. Также маскировке подвергаются все используемые им процессы, файлы на диске и ключи в реестре. Помимо этого, многие руткиты устанавливают в систему собственные драйверы и службы.
Часто руткиты применяются для увеличения времени жизни вредоносного кода в пораженной системе, в том числе и за счет противодействия установленным в ней антивирусам. Согласно исследованию «Лаборатории Касперского», посвященного противодействию антивирусным продуктам со стороны хакерского ПО, суммарная доля подобных вредоносных программ достаточно быстро растет.
Основным средством борьбы против руткитов остаются антивирусные, а также комплексные и локальные решения. Правда, есть и другие, необычные способы: около полугода назад компания Microsoft попробовала бороться с руткитами, полностью запретив доступ к ядру операционной системы для любой программы. Однако разработчики антивирусного ПО подобную инициативу не оценили и мягко намекнули Microsoft на недопустимость столь жестких мер, ограничивающих возможности разработки антивирусных продуктов.
Если затронуть вопрос распространения руткитов, то не стоит думать, что «подарить» вам их может только злой хакер – иногда получить подобный «подарок» можно от весьма уважаемой компании, например, Sony. История эта началась в октябре 2005 года, когда Марк Руссинович (Mark Russinovich), автор антируткит-программы RootkitRevealer, со страниц своего блога поведал широкой общественности о нахождении руткита, созданного DRM-программой, которая, в свою очередь, самоустановилась в систему с музыкального диска, выпущенного Sony. Как ни странно, найденный Марком руткит всячески сопротивлялся попыткам его удалить, что делало его еще более опасным.
Как отмечают эксперты, «это был один из крупнейших инцидентов в истории, когда «виновником» вирусной активности стала сторонняя компания, а не Microsoft. До сих пор авторы вирусов ориентировались на уязвимости в Windows, теперь же причиной атаки стала Sony». Иначе говоря, Microsoft и ее семейство операционных систем больше не являются единственной причиной вирусных эпидемий. Теперь ей может стать любая компания, чьи программные продукты содержат уязвимости или недокументированные функции. В целом, это крайне неприятная перспектива для конечных пользователей. Впрочем, свою роль в этой истории сыграл и тот факт, что уязвимость руткита Sony была крайне проста в использовании, а сам случай широко освещался в СМИ,
Тогда Sony быстро сообразила, чем может закончиться эта история, и выпустила специальную программу, начисто стирающую фирменный руткит из системы. Правда, это не скрыло Sony от пристального внимания властей США, но и серьезных последствий не повлекло. Корпорация избежала прямых денежных штрафов и дала клятвенное обещанием обменять до 31 июля 2007 года все выпущенные ранее музыкальные диски, защищенные DRM. Также она обещала выплатить по $150 каждому, кто сможет доказать, что DRM-руткит нанес его компьютеру непоправимый вред. Ну и в завершение, Sony обязали наносить на защищенных диски пометки о наличии DRM, а защитные программы устанавливать только с согласия пользователя.
Интересно, что через пару месяцев тот же Марк Руссинович обвинил в использовании руткит-технологий Symantec и «Лабораторию Касперского». По его мнению, используемые вышеупомянутыми компаниями технологии не так опасны, как руткит Sony, но сам факт их наличия в системе может представлять угрозу для конечного пользователя. Ответ и подробные разъяснения от «Лаборатории Касперского» можно прочитать в блоге компании.
Но стоит только перейти от частных случаев применения руткитов к общей статистике, как картина становится еще менее радужной. Так, по данным PandaLabs, в прошлом году число программ со свойствами руткита выросло на 62 процента, а в текущем году прогнозируется рост еще на 40 процентов. Цифры достаточно серьезные, однако в общей массе вирусов, троянов и spyware руткиты занимают всего около 10 процентов.
Еще более неутешительно ситуация выглядит в прогнозах «Лаборатории Касперского». Согласно им, в 2007 году вредоносные программы будут активно повышать свою технологичность и искать новые методы сокрытия своего присутствия в системе. следовательно, следует ожидать появления новых разработок в области полиморфизма и руткит-технологий, которые станут стандартом для большинства новых вредоносных программ.
- 00.00.0000 в 00:00
- 2 голоса
- одобрить
- утопить
- 0 комментариев
Заработай деньги
на своём сайте!
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2
Обсуждаемые новости
набор для покера ProPoker 100 фишек