Az operációs rendszer szintjén működő hátsóajtó programok nehezen felismerhető fenyegetést jelentenek - Kevin Poulsen, SecurityFocus

A hackerek egyre kifinomultabb módszerekkel tartják hatalmukban az általuk feltört számítógépeket. Kevin Poulsen, a SecurityFocus képviseletében úgy véli, ez még csak a kezdet a Windows rendszerek világában.

Barron Mertens, az egyik ontariói egyetem rendszergazdája tavaly januárban zavarba ejtő felfedezést tett. Az általa felügyelt, fürtözött kiszolgálókból álló Windows 2000 rendszer látszólag véletlenszerűen, több ízben is összeomlott. "Nagyon megdöbbentem" - idézte fel az esetet. "Tudomásom szerint addig a napig a fürt egyszer sem állt le az üzembehelyezése óta eltelt több mint két évben." A lefagyások okának kinyomozásában a haldokló Windows által megjelenített ún. BSOD képernyő segített. A listában szereplő "ierk8243.sys" nevű rendszerkomponens ismeretlen volt Barron számára, sőt a Microsoft sem tudott erről az állományról.

Mr. Mertens ekkor még nem tudta, hogy a rejtélyes szerverlefagyások szerencsés véletlennek bizonyulnak. Ugyanis csak ezekből a jelekből lehetett arra következtetni, hogy az egyetem hálózatát hackerek feltörték és olyan szoftvereket telepítettek a gépre, amelyekkel szinte észrevétlenül maradhattak bent a rendszerben. Ez az eszközcsomag, amelyet a különböző antivírus cégek azóta Slanret, IERK, Krei illetve AliSys névre kereszteltek, egyike az egyelőre kis számú, Windows-hoz készített "root kit" programoknak. Ez a kategória olyan szoftver- kártevőket tartalmaz, amelyek az operációs rendszer legalacsonyabb szintjén épülnek be a rendszerbe, így telepítésük után hagyományos eszközökkel már nem lehet észlelni őket.

A "kernel-módú trójaiakként" is emlegetett root kit eszközök technikailag jóval fejlettebbek a hálózati adminisztrátorok életét oly gyakran megkeserítő Windows-os hátsóajtó programoknál. Az alapvető különbség a két kategória között a számítógép feletti ellenőrzés mélységében keresendő, hiszen az elterjedt SubSeven és BackOrifice 2000 eszközök felhasználói módban futnak. Ez azt jelenti, hogy az operációs rendszer számára közönséges alkalmazásnak számítanak és más szoftverek, pl. víruskereső programok is képesek észlelni a jelenlétüket a merevlemezen található fájlok között vagy a registry-ben kutatva.

Ezzel szemben a Root Kit beépül az operációs rendszer API-jába, abba a függyvénykészletbe, amelyet a gépen telepített alkalmazói programok használnak az olyan alapvető feladatok végrehajtására, mint a merevlemezen fájlok elérése. Egy Root Kit program telepítése után ez a parancsforgalom "cenzúrázásra" kerül, a továbbiakban a kártevő dönti el, hogy az egyes programok milyen objektumokat láthatnak és érhetnek el a rendszerben.

A Root Kit első dolga, hogy elrejtse saját magát. Ha például olyan könyvtár listázására kerül sor, amelyben rosszindulatú kódot tartalmazó állomány található, akkor ennek fájlnak a neve hiányozni fog a listából. Ugyanez történik a registry elérésekor és a feladatkezelő használata esetén is. Ha a Root Kitet vezérlő hacker úgy kívánja, bármely más állományt is elrejthet, többek között a megtámadott gépre távolról feltöltött illegális zenei- és videóanyagokat, vagy jelszólistákat. Amíg van hely a merelemezen, a rejtett tartalom tetszőleges méretű lehet. "Akár egy elefántot is elrejthetnek vele a gépben" - figyelmeztet a rendszergazda.

A névadó Slanret technikailag csak az egyik, bár fontos része a Root Kit csomagnak. Ez a hét kilobájt méretű komponens eszközmeghajtóként épül be a Windows operációs rendszerbe és a kapott utasításoknak megfelelően gondoskodik az egyes állományok és folyamatok elrejtéséről. A gépet feltörő hacker parancsait egy Krei nevű 27 kilobájtos backdoor program közvetíti a számára. Mr. Mertens szerint azonban a lopakodási képesség az igazán ijesztő képesség ezekben a programokban.