Rootkit - wykryj niewykrywalne
- Robert Ścisłowski,
- 28.02.2005, godz. 12:18
Specjaliści, zajmujący się bezpieczeństwem, ostrzegają przed nową generacją szkodliwych programów, tzw. rootkit, które mogą zagrozić komputerom pracującym nie tylko pod kontrolą Windows. Ich siła kryje się w tym, że potrafią ukrywać inne złośliwe oprogramowanie przed antywirusami i narzędziami systemowymi. Przedstawiamy darmowe narzędzie, RootkitRevealer, które pomoże wykryć utajoną wrogą aktywność. Być może Twój skaner antywirusowy nie potrafi sobie poradzić z jakimś robakiem, albo posiadasz groźnego wirusa i nawet o tym nie wiesz! Sprawdź procesy systemowe tak dokładnie, jak się tylko da.
Według inżynierów Microsoftu, czasami możliwe jest wykrycie rootkit przy wykorzystaniu analizy prowadzonej z innego niezainfekowanego komputera w sieci. Można też spróbować uruchomić komputer z płyty CD zawierającej system Windows PE, a następnie przeprowadzić porównanie parametrów systemów operacyjnych na CD i dysku. Microsoft opracował też narzędzie do detekcji niektórych modułów rootkit - tzw. Strider Ghostbuster. Zobacz więcejhttp://research.microsoft.com/rootkit/
RootkitRevealer
RootkitRevealer to zaawansowane narzędzie do wykrywania utajonych programów. Program współpracuje z systemami Windows NT 4 i nowszymi. Dzięki monitorowaniu list rejestru oraz systemu plików API może on wykryć niezgodności, które wskazują na obecność w systemie intruzów. Aplikacja wykrywa wszystkie "persistent rootkits" opublikowane na stroniehttp://www.rootkit.com , włączając w to AFX, Vanquish i wspomnianego wcześniej HackerDefender.
Co to Rootkit?
Terminu "rootkit" używa się do opisu mechanizmów i technik, dzięki którym złośliwe oprogramowanie (włączając w to wirusy, aplikacje szpiegowskie i trojany) może ukryć swoją obecność przed narzędziami naprawczymi - antywirusami, blokowaniem i wykrywaniem szpiegów, narzędziami systemowymi, itp. Istnieje kilka rodzajów rootkit, w zależności od tego, czy są one obecne po ponownym uruchomieniu komputera oraz w jaki sposób rezydują w komputerze (user mode lub kernel mode).
Persistent Rootkits
Uruchamia się za każdym razem, gdy ładuje się system operacyjny. Tak jak złośliwe oprogramowanie zawiera kod, który musi być wykonany przy starcie lub logowaniu. Kod musi być przechowywany w miejscu takim jak rejestr lub system plików i tak jest skonfigurowany, aby uruchamiał się bez ingerencji użytkownika.
Memory-Based Rootkits
Ten rodzaj "rootkit" rezyduje w pamięci operacyjnej komputera. Wystarczy zrestartować komputer, aby się go pozbyć.
User-mode Rootkits
Istnieje wiele metod, dzięki którym rootkit unika wykrycia. Ten konkretny typ może przechwycić wszystkie połączenia Windows FindFirstFile/FindNextFile API, które są używane przez narzędzia systemu plików, włączając w to Eksplorator i linię poleceń do numerowania zawartości folderów systemowych. W efekcie antywirus, zamiast znaleźć na wykazie złośliwy program, odczytuje zmienione wpisy przez rootkit i uznaje, że wszystko jest w porządku.
Kernel-mode Rootkits
Kernel-mode Rootkit jest wyjątkowo niebezpieczny, ponieważ może bezpośrednio zmieniać dane w rdzeniu systemu. Powszechną techniką ukrywania złośliwego oprogramowania jest usunięcie go z listy procesów systemowych.
Więcej informacji na ten temat dostępnych jest na stronie www.rootkit.com
Obsługa
Program RootkitRevealer dostępny jest w dwóch postaciach: z graficznym interfejsem użytkownika oraz linii poleceń. Obie wersje wymagają zalogowania się w systemie przy użyciu konta administratora (domyślnie). Aby skanować system należy uruchomić program i włączyć przycisk Scan. Wszystkie procesy, które wydają się podejrzane są szczegółowo opisane: ścieżka na dysku lub lokalizacja w rejestrze, czas, rozmiar i status. Nie należy oczywiście interpretować ich jednoznacznie jako rootkit, ponieważ wiele wpisów w rejestrze odmawia do siebie dostępu. Podobnie jest z zabezpieczonymi metadanymi na dysku NTFS, takich jak MFT lub Secure.
Jeżeli ustalimy ponad wszelką wątpliwość, że proces jest niebezpieczny pozostaje nam usunięcie z dysku konkretnej aplikacji lub zmodyfikowanie rejestru. Do tego celu szczególnie polecamy darmowy Registry Workshop.
Należy również pamiętać, że producent aplikacji RootkitRevealer nie udziela żadnych gwaracji związanych ze swoim darmowym oprogramowaniem. Przed jakimikolwiek zmianami należy koniecznie wykonać kopię zapasową rejestru i najważniejszych danych.
Więcej informacji dostępnych jest na stronie producenta.