Specker Balázs
Új fejezet nyílhat a rootkit-háborúban
Egy nemrég felfedezett trójai program olyan furfangosan rejti el magát az antivírus szoftverek elől, hogy egyes biztonsági kutatók úgy vélik, új fejezet kezdődött az ártó szándékú programok ellen vívott harcban.
A Symantecnél Rustock.A-nak, az F-Secure berkein belül pedig Mail.bot.AZ-nak hívott új veszedelem rootkit-technikát használ, hogy elrejtőzzön a két vírusirtócég keresői elől. "Úgy tekinthetünk rá, mint a rootkitek következő generációjára" - fogalmazott blogjában Elia Florio, a Symantec biztonsági vészelhárító csapatának szakembere. "A Rustock.A olyan ismert és új megoldások ötvözetéből áll, amelyek együtt elrejthetik az ártó szándékú programot a legelterjedtebb rootkit-keresők elől is" - tette hozzá Florio.
Úgy tűnik, a rootkitekkel egyre inkább számolnunk kell. A Sony botrányt kavaró másolásvédelme kapcsán felkapott technika arra alapul, hogy rendszermódosítások segítségével takarjanak el programokat a felhasználó szeme elől. Jelen esetben a Rustock rootkit-megoldása egy trójait igyekezett elbújtatni, amelyik így hátsó ajtót nyithatott a rendszer biztonsági falán.
Craig Schmuligar, a MacAffe víruskutatási vezetője úgy véli, ebben az esetben biztosra vehető, hogy a rootkit készítői közelebbről szemügyre vették a keresőeszközök belső mechanizmusát. "A biztonsági cégek igyekeznek egy lépéssel a rosszfiúk előtt járni, ám ők már hozzáférhetnek az antivírus vállalatok legfrissebb fejlesztéseihez. Számos technikát kombináltak, hogy erősebb és keményebb programot alkossanak" - nyilatkozta Schmugar a ZDNet oldalán.
Florio szerint hogy elkerülje az azonosítást, a Rustock nem futtat rendszerfolyamatokat, hanem driver és kernel-szálakon belül indítja el kódját. Emellett rejtett fájlok helyett alternatív adatfolyamokat használ és kerüli az API-kat (alkalmazásprogramozási felület) is.
A Symantecnél Rustock.A-nak, az F-Secure berkein belül pedig Mail.bot.AZ-nak hívott új veszedelem rootkit-technikát használ, hogy elrejtőzzön a két vírusirtócég keresői elől. "Úgy tekinthetünk rá, mint a rootkitek következő generációjára" - fogalmazott blogjában Elia Florio, a Symantec biztonsági vészelhárító csapatának szakembere. "A Rustock.A olyan ismert és új megoldások ötvözetéből áll, amelyek együtt elrejthetik az ártó szándékú programot a legelterjedtebb rootkit-keresők elől is" - tette hozzá Florio.
Úgy tűnik, a rootkitekkel egyre inkább számolnunk kell. A Sony botrányt kavaró másolásvédelme kapcsán felkapott technika arra alapul, hogy rendszermódosítások segítségével takarjanak el programokat a felhasználó szeme elől. Jelen esetben a Rustock rootkit-megoldása egy trójait igyekezett elbújtatni, amelyik így hátsó ajtót nyithatott a rendszer biztonsági falán.
Craig Schmuligar, a MacAffe víruskutatási vezetője úgy véli, ebben az esetben biztosra vehető, hogy a rootkit készítői közelebbről szemügyre vették a keresőeszközök belső mechanizmusát. "A biztonsági cégek igyekeznek egy lépéssel a rosszfiúk előtt járni, ám ők már hozzáférhetnek az antivírus vállalatok legfrissebb fejlesztéseihez. Számos technikát kombináltak, hogy erősebb és keményebb programot alkossanak" - nyilatkozta Schmugar a ZDNet oldalán.
Florio szerint hogy elkerülje az azonosítást, a Rustock nem futtat rendszerfolyamatokat, hanem driver és kernel-szálakon belül indítja el kódját. Emellett rejtett fájlok helyett alternatív adatfolyamokat használ és kerüli az API-kat (alkalmazásprogramozási felület) is.
