Rootkity: jak z nimi walczyć

Przeczytaj także: Groźny rootkit Win32/Rustock powraca

Jedną z największych trudności napotykanych przez twórców wirusów jest ukrycie obecności złośliwego kodu przed użytkownikiem zainfekowanego komputera. Dla autora wirusów idealnie byłoby, gdyby złośliwy program nie został wykryty także przez rozwiązania antywirusowe. Teraz, gdy pisanie wirusów przestaje być jedynie hobby i coraz częściej staje się zajęciem przynoszącym korzyści finansowe, zacieranie śladów ma coraz większe znaczenie dla hakerów, którzy piszą złośliwe programy dla pieniędzy. Jak można więc ukryć program, który kradnie informacje dotyczące konta bankowego lub instaluje serwer proxy w celu rozsyłania spamu bez wiedzy właściciela komputera?

Współcześni cyber-przestępcy przyjmują podejście stosowane przez cybernetycznych wandali 10-15 lat temu. Jednym z pierwszych znanych wirusów dla komputerów PC był Virus.Boot.Brain.a. Ten wirus sektora startowego przechwytywał systemowe funkcje dostępu do dysku. Podczas odczytywania sektora startowego (np. przez rozwiązanie antywirusowe) wirus zamieniał zainfekowane dane oryginalnymi. Od tej pory takie mechanizmy ukrywania (przechwytywanie funkcji systemu i zamienianie danych) stosowane były w wirusach dla systemu Windows. (Virus.Win32.Cabanas.a).

Obecnie złośliwe programy dla systemu UNIX nie są tak rozpowszechnione jak te dla środowiska DOS i Windows. Termin "rootkit" został zapoczątkowany w świecie Uniksa. Obecnie jednak stosowany jest na określenie technologii ukrywania stosowanych przez autorów koni trojańskich dla systemów Windows. Początkowo "rootkit" oznaczał zestaw programów, które pozwalały hakerowi na uniknięcie wykrycia. W tym celu należy zastąpić wykonywalne pliki systemowe (takie jak ligin, ps, ls, netstat itd.) lub biblioteki systemowe (libproc.a) lub zainstalować moduł jądra. Obydwa sposoby służą temu samemu: uniemożliwiają użytkownikom otrzymanie dokładnych informacji o tym, co się dzieje w komputerze.

Jak pokazuje Wykres 1, coraz częściej stosuje się rootkity w celu zamaskowania obecności złośliwego kodu w zainfekowanych systemach.

Wzrost popularności rootkitów spowodowany jest częściowo dostępnością w Internecie ich kodu źródłowego. Twórcy wirusów bez trudu dokonają niewielkich modyfikacji takiego kodu. Innym czynnikiem wpływającym na rozpowszechnienie rootkitów jest to, że większość użytkowników systemu Windows używa konta administratora zamiast tworzenia oddzielnego konta użytkownika. Znacznie ułatwia to zainstalowanie rootkita na komputerze ofiary.

Twórcy wirusów i producenci pseudo-legalnego oprogramowania typu spyware widzą dla siebie unikatową reklamę w możliwości wykorzystania rootkitów do ukrycia obecności złośliwego kodu zarówno przed użytkownikami, jak i rozwiązaniami antywirusowymi.

Przyjrzyjmy się bliżej rootkitom dla systemów Windows i UNIX.