Руткиты

РУТКИТЫ

________________________________________________________

images.jpg

В таком смысле, что противоречит общественному мнению, руткиты – это вовсе не утилиты, которые могут быть использованы для нанесения вреда компьютеру.

В системах UNIX руткиты используются как гарантия непрерывного доступа к удаленному компьютеру, которые предварительно был заражен с целью, например:

·        Установки backdoor-кода, через который можно получать доступ к компьютеру.

·        Сокрытия изменений, примененных к конфигурации.

·        Сокрытия логов, оставшихся после вторжения в систему.

Для систем Windows цель остается аналогичной: сокрытие существования внутри компьютера других элементов, для того, чтобы их присутствие и выполнение не могли быть обнаружены пользователем и даже антивирусным ПО. Если такие элементы представлены вирусами, тогда владелец компьютера столкнется с серьезной проблемой.

В 2005 году были обнаружены первые варианты вредоносного ПО, использующие руткиты (внешние утилиты, а также технологии, включенный в их код) для сокрытия своей деятельности. Боты, рекламное ПО и шпионское ПО включили такие характеристики в собственные свойства, что дало начало тенденции, со временем только укрепляющей свои позиции.

Этот факт идеально соответствует актуальной динамике вредоносного ПО. Поскольку цель вредоносного ПО – совершение информационных преступлений с конечным получением экономической прибыли, особенно важно, чтобы оно не обращало на себя внимания, а в лучшем случае и вовсе оставалось незамеченным. В таком случае вредоносное ПО будет активно работать внутри компьтера максимально долгое время, не будучи обнаруженным.

С другой стороны, есть и потенциальные преимущества использования руткитов, которые могут вполне легитимно применяться в следующих областях:

·        Мониторинг сотрудников.

·        Защита интеллектуальных данных.

·        Защита программ от действия вредоносных кодов или ошибок пользователей (случайное удаление, например).

В свете такого предположительно положительного использования произошел случай, получивший широкую огласку в СМИ в конце 2005 года. Эксперт Марк Руссинович обнаружил, что система защиты от копирования, включаемая компанией Sony в некоторые продукты, содержала руткит под названием XCP, который блокировал возможность отключения упомянутой выше защиты.

После того, как был опубликован детальный анализ этой ситуации, вскоре начали появляться образцы вредоносного ПО (например, backdoor-код Ryknos.A backdoor), в которых данный руткит использовался для сокрытия вредоносного кода в системах с установленной системой защиты от копирования.

В итоге Sony пришлось разработать утилиту для удаления руткита и деинсталляции системы защиты от копирования.

Как мы видим, даже если руткит используется в легитимных целях, всегда есть особенности, которые требуют тщательного анализа.