Élet-Stílus

Új fejezet nyílhat a rootkitháborúban

Egy nemrég felfedezett trójai program olyan furfangosan rejti el magát az antivírusszoftverek elől, hogy egyes biztonsági kutatók úgy vélik, új fejezet kezdődött az ártó szándékú programok ellen vívott harcban.

A Symantecnél Rustock.A-nak, az F-Secure berkein belül pedig Mail.bot.AZ-nak hívott új veszedelem rootkittechnikát használ, hogy elrejtőzzön a két vírusirtó cég keresői elől. „Úgy tekinthetünk rá, mint a rootkitek következő generációjára” – fogalmazott blogjában Elia Florio, a Symantec biztonsági vészelhárító csapatának szakembere. „A Rustock.A olyan ismert és új megoldások ötvözetéből áll, amelyek együtt elrejthetik az ártó szándékú programot a legelterjedtebb rootkitkeresők elől is” – tette hozzá Florio.

Úgy tűnik, a rootkitekkel egyre inkább számolnunk kell. A Sony botrányt kavaró másolásvédelme kapcsán felkapott technika arra alapul, hogy rendszermódosítások segítségével takarjanak el programokat a felhasználó szeme elől. Jelen esetben a Rustock rootkitmegoldása egy trójait igyekezett elbújtatni, amelyik így hátsó ajtót nyithatott a rendszer biztonsági falán.

Craig Schmuligar, a MacAffe víruskutatási vezetője úgy véli, ebben az esetben biztosra vehető, hogy a rootkit készítői közelebbről szemügyre vették a keresőeszközök belső mechanizmusát. „A biztonsági cégek igyekeznek egy lépéssel a rosszfiúk előtt járni, ám ők már hozzáférhetnek az antivírus-vállalatok legfrissebb fejlesztéseihez. Számos technikát kombináltak, hogy erősebb és keményebb programot alkossanak” – nyilatkozta Schmugar a ZDNet oldalán.

Florio szerint, hogy elkerülje az azonosítást, a Rustock nem futtat rendszerfolyamatokat, hanem driver- és kernelszálakon belül indítja el kódját. Emellett rejtett fájlok helyett alternatív adatfolyamokat használ, és kerüli az API-kat (alkalmazásprogramozási felület) is.

Ajánlott videó

Olvasói sztorik