Microsoft įspėja apie naują Windows vartotojams iškilusią grėsmę
Informacinei saugai skirtoje RSA Security 2005 konferencijoje Microsoft atstovai Maikas Danseglio (Mike Danseglio) ir Kurtas Dilardas (Kurt Dillard) iš Security Solutions Group įspėjo, kad Windows vartotojams atsirado naujas pavojus.
Jis kyla dėl naujos programų kartos, kuri pasižymi galimybe būti įdiegta ir veikti OS branduolio lygiu. Šias programas [vad. “kernel rootkits“] įsilaužėliai naudoja vartotojų sistemų stebėjimui. MS atstovų nuomone, tokių programų beveik neįmanoma aptikti šiuolaikinėmis apsaugos priemonėmis.
Root-kitų potenciali naudojimo sritis – naujos kartos šnipinėjančių programų [spyware] ir kirminų kūrimas, – tvirtina ekspertai.
Nuotoliniam sistemų stebėjimui skirtos programos egzistuoja jau seniai, žinomiausi jų pavyzdžiai – įsilaužėlių sukurti „Hacker Defender“, „FU“, „Vanquish“ ir kiti root-kitai. Įsilaužėliai jas naudoja sistemų kontrolei, atakos atlikimui arba informacijos iš užkrėsto kompiuterio perdavimui. Šios programos į PC dažniausiai įdiegiamos be jų savininko žinios (panaudojus virusą arba atlikus sėkmingą kompiuterio ataką).
Root-kitai dažniausiai veikia „foniniame“ režime; jas rasti galima paleistų užkrėsto kompiuterio programų sąraše arba įdėmiai stebint išeinantį trafiką.
Nauji root-kit‘ų tipai daugeliu atvejų sugeba perimti užklausas ir sistemines OS branduoliui perduodamas šauktis ir tarp jų išskirti tas, kurias sukūrė pati kenkėjiška programa. Tokio metodo rezultatas – tipiškų paleistos programos požymių (vykdomo failo vardas, vardinis procesas) nebuvimas, todėl root-kitų nemato administratoriai ir antivirusinės programos.
Pasak Danseglio, vienintelis efektyvus būdas ištrinti tokią programą – suformatuoti kietąjį diską ir iš naujo įdiegti operacinę sistemą.