IceSword

Jeszcze jednym ciekawym narzędziem jest chiński program IceSword. Posiada on rozbudowane funkcje znajdowania ukrytych elementów Windows i w połowie tego roku w wersji 1.12 był jedyną aplikacją, która wykrywała komercyjne wersje Hacker Defendera. Autorzy tego ostatniego w końcu znaleźli sposób na obejście IceSword, ale równocześnie wysoko ocenili pomysłowość tego programu.

Pewnym problemem przy korzystaniu z IceSword jest język - chiński. Dostępna w sieci wersja angielska nie chciała działać. Z drugiej strony to co najważniejsze, czyli lista procesów jest wyświetlana w zwykłym ASCII a nie w ideogramach. Program od ponad pół roku nie był uaktualniany.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Automaty niewątpliwie mogą więc niemało. Obydwa testowane programy radzą sobie skutecznie z "seryjnymi" rootkitami, takimi jak Hacker Defender. BlackLight jest zdecydowanie łatwiejszy w użyciu. Rootkit Revealer wyświetla więcej ukrytych w systemie elementów, w tym także zmodyfikowane klucze rejestru, co pozwala znaleźć symptomy wcześniejszej infekcji. Dla pełnego efektu należałoby stosować obydwa narzędzia jedno po drugim.

Kiedy automat nie wystarczy?

Autorzy Hacker Defendera nie poprzestali na ogólnodostępnej wersji swojego rootkita, która przecież w formie binarnej wykrywana jest z łatwością przez większość programów antywirusowych, a po jego uruchomieniu rozpoznawana przez opisane wyżej narzędzia. Użytkownikom "komercyjnym" rootkita (czytaj: phisherom i złodziejom) oferowane są spersonalizowane, płatne wersje rootkita wyposażone w zaawansowane funkcje ukrywania się w systemie. Najdroższa kosztuje niemal 4 tys. zł, ale jest za to niemożliwa do wykrycia przez żadne z testowanych przez nas narzędzi.

Prezentowany na stronie Hacker Defendera krótki film (AVI) pokazuje jak uruchomiony rootkit skutecznie unika wykrycia, m.in. przez ostatnie wersje BlackLight, Rootkit Revealera i kilku innych narzędzi. Według zapewnień autorów rootkita, komercyjne wersje są w stanie ukryć się przed wszystkimi znanymi programami do wykrywania rootkitów i antywirusami.

Jak z tym walczyć? Pamiętajmy, że te "dozbrojone" wersje Hacker Defendera są niewykrywalne tylko dlatego, że ich techniki ukrywania się są spersonalizowane pod kątem konkretnych antywirusów i narzędzi antyrootkitowych. Jeśli więc dzisiejsza wersja jest niewidzialna dla F-Secure BlackLight w wersji 2.2.1007, to bardzo prawdopodobne, że jutrzejszy BlackLight już ją zobaczy. Jest to więc klasyczny przypadek tarczy i miecza, które cały czas są udoskonalane. Według zapewnień autorów, komercyjne wersje są w stanie ukryć się przed wszystkimi znanymi programami do wykrywania rootkitów i antywirusami.

Istnieje jednak technika, która nie polega na żadnych wykrywaczach rootkitów, a na specyficznych właściwościach tych ostatnich oraz samego systemu operacyjnego.

Inne, bardziej zaawansowane ale za to skuteczniejsze metody opisujemy w drugiej części artykułu.