Rootkity: jak z nimi walczyć

Przeczytaj także: Groźny rootkit Win32/Rustock powraca

Wykrywanie rootkitów

Pierwszym krokiem w zwalczaniu rootkitów jest ich wykrycie. Autorzy rootkitów zawsze mogą o krok wyprzedzać narzędzia do ich wykrywania, ponieważ nieustannie rozwijają nowe technologie, natomiast producenci oprogramowania antywirusowego potrzebują czasu do zanalizowania tych technologii i opracowania narzędzi wykrywających. Pomimo złożoności rootkitów produkty firmy Kaspersky Lab w wersji 6 posiadają zdolność skutecznego wykrywania rootkitów (Wersja 6.0 przechodzi obecnie wewnętrzne testy). W jaki sposób produkty firmy Kaspersky Lab reagują na opisane powyżej rootkity FU?

Dla przypomnienia: instalacja rootkita spowodowała ukrycie procesów systemowych. Podsystem przeznaczony do zwalczania rootkitów wykrywa to i ostrzega użytkownika (rysunek 5).

Podsystem pozwala na wykrycie nie tylko rootkitów, które zostały już dodane do antywirusowych baz danych, ale również tych nieznanych, jak pokazuje rysunek 6.

Podobny podsystem wykorzystywany jest do wykrywania rootkitów w trybie użytkownika (omówionym w pierwszej części artykułu), który wprowadza DLL do innych procesów.

W takich wypadkach podsystem reaguje powiadamiając użytkownika, że określony proces próbuje wprowadzić kod do innego procesu (rysunek 6).