Rootkit ukryty w procesorze

Dwaj specjaliści od spraw bezpieczeństwa odkryli i opracowali nowy rodzaj rootkitów, nadając im nazwę SMM (System Management Mode). Są one ukrywane w mało znanych częściach procesora, które są niewidoczne dla programów antywirusowych.

Oprogramowanie rootkit typu SMM jest instalowane w chronionej części pamięci komputera, którą można zablokować i uczynić niewidoczną dla systemu operacyjnego. Rootkit dostarcza włamywaczowi szereg cennych informacji dotyczących stanu komputera i zawartości pamięci.

Rootkit typu SMM zawiera program "keylogging"oraz specjalne oprogramowanie komunikacyjne, które wykrada z komputera istotne dla włamywacza informacje. Twórcami rootkita są dwaj programiści (Shawn Embleton i Sherri Sparks) pracujący w Clear Hat Consulting. Zapowiedzieli oni, że zademonstrują publicznie możliwości nowego rodzaju rootkita w Las Vegas (sierpień 2008) podczas konferencji Black Hat dotyczącej spraw bezpieczeństwa.

Zobacz również:

O oprogramowaniu typu rootkit (ukrywającym obecnie szkodliwe pliki i procesy, które pozwalają przejmować kontrolę nad systemem komputerowym) stało się głośno pod koniec 2005 r. za sprawą muzycznej firmy Sony BMG Music, który użyła tej technologii do ukrycia oprogramowania chroniącego jej utwory przed kopiowaniem. Wybuchł wtedy skandal i firma musiała wycofać z rynku miliony płyt CD zawierających oprogramowanie rootkit.

W ostatnich latach programiści starali się ukrywać rootkity w takich miejscach, które nie są kontrolowane przez system operacyjny. I tak np. dwa lata temu pojawił się rootkit Blue Pill, który wykorzystywał technologię wirtualizowania zastosowaną przez AMD w swoich procesorach, po to aby nie można go było wykrywać. Rootkit typu SMM wydaje się być dużo trudniejszy do wykrywania niż rootkit Blue Pill (niektórzy twierdzą, że jest to wręcz niemożliwe), jednak wymaga od programisty nie lada umiejętności, aby można go było umiejscowić w pamięci procesora. Jak niebezpieczny może to być rootkit przekonamy się o tym być może wtedy, gdy jego twórcy powiedzą o nim więcej podczas konferencji Black Hat.


TOP 200