Zagrożenie wynika z faktu, że programy rootkit są praktycznie niewykrywalne przez obecnie stosowane mechanizmy zabezpieczeń. Dotąd obecność szkodliwego kodu udawało się stwierdzać dzięki analizie uruchomionych procesów, monitorowaniu komunikacji z zewnętrznymi systemami oraz śledzeniu instalowanych w systemie programów. W przypadku rootkit to nie wystarczy. Wykorzystują one bowiem zaawansowane mechanizmy modyfikacji rdzenia systemu operacyjnego. Niektóre wersje rootkit mogą przechwytywać, filtrować i modyfikować polecenia systemowe przekazywane do rdzenia systemu lub generowane przez ten rdzeń. W efekcie takie oznaki działania programu jak jego nazwa, uruchomiony proces i wykorzystywana pamięć, a także parametry zapisywane w rejestrze systemu są niewidoczne dla administratora i klasycznych narzędzi antywirusowych.

Przykładem rootkit jest program Hacker Defender, który w Internecie pojawił się rok temu. Zawiera on m.in. mechanizmy szyfrowania transmisji TCP wychodzącej z komputera przez często stosowany port 135. Program nie przerywa transmisji realizowanych przez inne aplikacje, wykorzystując mechanizm nakładania informacji na inne strumienie danych. Na razie brakuje efektywnych, uniwersalnych metod wykrywania i usuwania tego typu szkodliwych kodów.

Według inżynierów Microsoftu, czasami możliwe jest wykrycie rootkit przy wykorzystaniu analizy prowadzonej z innego niezainfekowanego komputera w sieci. Można też spróbować uruchomić komputer z płyty CD zawierającej system Windows PE, a następnie przeprowadzić porównanie parametrów systemów operacyjnych na CD i dysku. Microsoft opracował też narzędzie do detekcji niektórych modułów rootkit - tzw. Strider Ghostbuster. Zobacz więcejhttp://research.microsoft.com/rootkit/

RootkitRevealer

RootkitRevealer to zaawansowane narzędzie do wykrywania utajonych programów. Program współpracuje z systemami Windows NT 4 i nowszymi. Dzięki monitorowaniu list rejestru oraz systemu plików API może on wykryć niezgodności, które wskazują na obecność w systemie intruzów. Aplikacja wykrywa wszystkie "persistent rootkits" opublikowane na stroniehttp://www.rootkit.com , włączając w to AFX, Vanquish i wspomnianego wcześniej HackerDefender.

Co to Rootkit?

Terminu "rootkit" używa się do opisu mechanizmów i technik, dzięki którym złośliwe oprogramowanie (włączając w to wirusy, aplikacje szpiegowskie i trojany) może ukryć swoją obecność przed narzędziami naprawczymi - antywirusami, blokowaniem i wykrywaniem szpiegów, narzędziami systemowymi, itp. Istnieje kilka rodzajów rootkit, w zależności od tego, czy są one obecne po ponownym uruchomieniu komputera oraz w jaki sposób rezydują w komputerze (user mode lub kernel mode).

Persistent Rootkits

Uruchamia się za każdym razem, gdy ładuje się system operacyjny. Tak jak złośliwe oprogramowanie zawiera kod, który musi być wykonany przy starcie lub logowaniu. Kod musi być przechowywany w miejscu takim jak rejestr lub system plików i tak jest skonfigurowany, aby uruchamiał się bez ingerencji użytkownika.

Memory-Based Rootkits

Ten rodzaj "rootkit" rezyduje w pamięci operacyjnej komputera. Wystarczy zrestartować komputer, aby się go pozbyć.

User-mode Rootkits

Istnieje wiele metod, dzięki którym rootkit unika wykrycia. Ten konkretny typ może przechwycić wszystkie połączenia Windows FindFirstFile/FindNextFile API, które są używane przez narzędzia systemu plików, włączając w to Eksplorator i linię poleceń do numerowania zawartości folderów systemowych. W efekcie antywirus, zamiast znaleźć na wykazie złośliwy program, odczytuje zmienione wpisy przez rootkit i uznaje, że wszystko jest w porządku.

Kernel-mode Rootkits

Kernel-mode Rootkit jest wyjątkowo niebezpieczny, ponieważ może bezpośrednio zmieniać dane w rdzeniu systemu. Powszechną techniką ukrywania złośliwego oprogramowania jest usunięcie go z listy procesów systemowych.

Więcej informacji na ten temat dostępnych jest na stronie www.rootkit.com

Obsługa

Program RootkitRevealer dostępny jest w dwóch postaciach: z graficznym interfejsem użytkownika oraz linii poleceń. Obie wersje wymagają zalogowania się w systemie przy użyciu konta administratora (domyślnie). Aby skanować system należy uruchomić program i włączyć przycisk Scan. Wszystkie procesy, które wydają się podejrzane są szczegółowo opisane: ścieżka na dysku lub lokalizacja w rejestrze, czas, rozmiar i status. Nie należy oczywiście interpretować ich jednoznacznie jako rootkit, ponieważ wiele wpisów w rejestrze odmawia do siebie dostępu. Podobnie jest z zabezpieczonymi metadanymi na dysku NTFS, takich jak MFT lub Secure.

Jeżeli ustalimy ponad wszelką wątpliwość, że proces jest niebezpieczny pozostaje nam usunięcie z dysku konkretnej aplikacji lub zmodyfikowanie rejestru. Do tego celu szczególnie polecamy darmowy Registry Workshop.

Należy również pamiętać, że producent aplikacji RootkitRevealer nie udziela żadnych gwaracji związanych ze swoim darmowym oprogramowaniem. Przed jakimikolwiek zmianami należy koniecznie wykonać kopię zapasową rejestru i najważniejszych danych.

Więcej informacji dostępnych jest na stronie producenta.