Rootkit na śniadanie (cz.I)

Wyobraźmy sobie konia trojańskiego, którego nie widzi żaden antywirus i nie ma go na liście procesów. A on tam jest, dyskretnie ukryty zbiera nasze hasła i kody do kont bankowych. Dzisiaj to już rzeczywistość. Skuteczne metody walki z rootkitami opisuje Paweł Krawczyk.

Walka z rootkitami nie jest łatwa, ale jest możliwa. Pomocne są w tym dwa narzędzia, które na dzień dzisiejszy wyłapują wszystkie seryjne rootkity. W skrajnych przypadkach pozostaje metoda ręczna, która daje jednak większą pewność że system jest czysty.

Klasycznym przykładem nowoczesnego rootkita jest czeski Hacker Defender, dostępny wraz z kodem źródłowym. Działanie tego programu jest bardzo widowiskowe, bo po uruchomieniu na testowym komputerze z Windows jego plik binarny oraz konfiguracyjny... po prostu znikają. Nie znajdziemy go również na liście procesów wyświetlanej przez Task Manager, pomimo że proces oczywiście tam jest.

Zobacz również:

Rootkit na śniadanie (cz.I)

Task manager nie pokazuje procesu hxdef100

Tworzy kilkanaście kluczy w rejestrze i choćby w ten sposób jest jednak wykrywalny. Konfiguracja Hacker Defendera jest elastyczna i pozwala dodawać do konfiguracji listę ukrywanych procesów, plików, a także nazw kluczy w rejestrze. Co więcej, przy budowaniu tej listy można posługiwać się wyrażeniami regularnymi, co ułatwia ukrywanie całych grup plików. Konstrukcja programu jest ukierunkowana na działanie w charakterze "ochroniarza" towarzyszącego rootkitowi konia trojańskiego lub keyloggera, czyli programu "podsłuchującego" dane wprowadzane za pomocą klawiatury.

Antywirusy

Programy antywirusowe w większości przypadków wykrywają pliki binarne rootkita i wyraźnie ostrzegają użytkownika przed niebezpieczeństwem. Ale potrafią go jednak wykryć tylko pod warunkiem, że system nie został wcześniej zainfekowany. To istotna różnica w stosunku do klasycznych wirusów - po uruchomieniu rootkita staje się on bowiem niewidzialny także dla programów antywirusowych, nawet pomimo tego, że cały czas działa w pamięci.

Dostępnych jest przynajmniej kilka narzędzi służących do automatycznego wykrywania rootkitów. Działają one zwykle na zasadzie analizy wielu elementów systemu i porównywania ich zawartości w celu znalezienia niespójności, świadczących o dyskretnej, ale jednak, ingerencji. Tam gdzie to możliwe, sprawdzanie odbywa się z pominięciem standardowego API Windows na różnych poziomach - program zakłada (i słusznie), że znajduje się ono pod kontrolą rootkita.

Narzędzia już są

Pierwszym testowanym przez nas narzędziem jest

Sysinternals Rootkit Revealer. Firma Sysinternals jest znana z publikowania licznych darmowych narzędzi ułatwiających niskopoziomowe konfigurowanie systemów Windows. Rootkit Revealer to aplikacja, służąca do skanowania systemu w poszukiwaniu podejrzanych i ukrytych elementów. Nie wszystkie raportowane przez Rootkit Revealer klucze lub pliki muszą być od razu wynikiem działania rootkita, ale wszystkie warto sprawdzić. Na ilustracji obok widać, jak Rootkit Revealer poradził sobie ze znalezieniem zainstalowanego w systemie Hacker Defendera. Jednak na jego znalezieniu rola programu się kończy - administrator musi sobie sam poradzić z jego usunięciem.

Rootkit na śniadanie (cz.I)

Rootkit Revealer w akcji

F-Secure BlackLight

Drugim przydatnym do walki z rootkitami programem jest wersja beta F-Secure BlackLight - narzędzia, które w tym roku ma wejść w skład komercyjnego skanera F-Secure. Biorąc pod uwagę jego skuteczność, będzie to bardzo słuszny krok ze strony producenta. BlackLight jest narzędziem nieco łatwiejszym w obsłudze od Rootkit Revealera i trudno się dziwić, bo docelowo ma być to program dla szerokiego grona użytkowników.

BlackLight skanuje system i przedstawia użytkownikowi raport ze znalezionych ukrytych plików, oferując również ich usunięcie. Przydatną funkcją jest możliwość wyświetlenia "jedynej prawdziwej" listy działających w systemie procesów, która jak widać różni się dość istotnie od tej wyświetlanej przez Managera zadań. Rootkit jest na niej wyraźnie widoczny jako proces hxdef100.

Rootkit na śniadanie (cz.I)

Lista procesów według BlackLight

Rootkit na śniadanie (cz.I)

Porównanie listy procesów wg BlackLight i Task Managera - rootkit jest widoczny

Po znalezieniu podejrzanych plików BlackLight proponuje użytkownikowi usunięcie lub zmianę nazwy w celu dezaktywacji przy kolejnym uruchomieniu systemu. Program sugeruje wykonać restart zaraz po zakończeniu skanowania. Dzięki temu system powinien wystartować bez ukrywających się "dodatków", w związku z czym skanowanie antywirusem powinno zlokalizować źródło infekcji.

Rootkit na śniadanie (cz.I)

BlackLight leczy system z rootkita


TOP 200