Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





Új fenyegetés: a rootkitek

(2005. október 18.)

A jövőben minden bizonnyal egyre többször fogunk találkozni a rootkit kifejezéssel, mely elnevezés a kártékony szoftverek egy figyelemreméltó és roppant veszélyes típusát takarja.
Nyomtatható verzió Nyomtatható verzió

Magazin - Ismeretterjesztés
F-Secure

Valójában a rootkitek nem tekinthetők vadonatújnak: gyakorlatilag évtizedek óta léteznek ilyen programok, igaz, akkor még nem otthoni PC-ken, hanem főként intézményekben használatos Unix-rendszerek alatt voltak működőképesek, és csak egy beavatott, szűk kör tudott a létezésükről.

Mára, a Windows elterjedésével párhuzamosan a hackerek és víruskészítők figyelme is áthelyeződött: egyre több Microsoft szoftvert használó PC csatlakozik az internetre, melyek a potenciális célpontok táborát gyarapítják: józan ésszel belátható, hogy az online rendszerek számának növekedése mellett a sebezhető gépek száma is folyamatosan nő. Jelen cikkünk által a rootkitek elleni védekezéshez szeretnénk segítséget nyújtani.

Elsőként azt kell tisztázni, mit is jelent pontosan a rootkit kifejezés. Mint már elhangzott, rootkiteket eredetileg Unix operációs rendszerekre készítettek, ahol a "root" nevű felhasználó a mindenható rendszergazda, és ezen programok célja a root jogosultság megszerzése volt, ugyanis így át lehet venni a számítógép feletti irányítást. Windows-os rendszerek esetében a helyzet más: itt a felhasználók általában eleve rendszergazdai jogosultsággal dolgoznak, ezért a rootkiteket alapvetően kártevők elrejtésére használják, hogy például a vírusvédelmi alkalmazások ne vehessék észre jelenlétüket.

Ebből következik, hogy egy rootkit önmagában nem feltétlenül veszélyes, ám potenciálisan óriási károkozásra képes. A valódi fenyegetést a segítségével elrejtett férgek, vírusok, kémszoftverek, vagy a PC-ket illetéktelenek számára megnyitó egyéb kártevők okozzák. Egy rookittel kombinált kártékony kód igen hasonlít a DOS-os időkből ismert "lopakodó vírusokhoz", melyek szintén el tudták rejteni magukat a felhasználó elől.

Aktivizálódása után egy jól megírt rootkit szinte teljesen képes elrejtőzni a rendszerben: beépül az operációs rendszer magjába, és figyeli, illetve aktívan beavatkozik a rendszerhívások folyamatába. Ennek köszönhetően képes saját állományainak elrejtésére, a feladatkezelő és különféle memória-elemző programok, illetve vírusvédelmi szoftverek megtévesztésére

Fontos szem előtt tartani, hogy egy rootkit pusztán magától nem képes települni a rendszerünkre, csak ha az már korábban kompromittálódott valamilyen módon. Ha tehát naprakészen tartjuk operációs rendszerünket, tűzfalat és folyamatosan frissített antivírus programot használunk, illetve betartjuk az általános, józan észre hagyatkozó internetezési tanácsokat, hatékonyan védekezhetünk a támadások legújabb formájával szemben is.

Ki készíti a rootkiteket?

Mind a kémszoftverek, mind a különféle férgek készítői számára fontos, hogy minél tovább maradjon észrevétlen alkotásuk: hiszen minél hosszabb időn keresztül tudnak személyes információkat, banki adatokat, jelszavakat gyűjteni, vagy például spameket küldeni egy fertőzött PC-ről, annál nagyobb haszonra tehetnek szert. Nem meglepő, hogy ipari kémek is előszeretettel alkalmaznak rootkiteket: például a közelmúltban a Half-Life 2 című játékszoftver forráskódjának ellopásához is ilyen eszközöket használtak az elkövetők.

Egyes kémszoftverek is rootkit-technikák segítségével rejtik el magukat a felhasználó, illetve az antivírus programok elől: az év elején nagy port kavart a CoolWebSearch nevű spyware egy olyan változatának megjelenése, mely teljesen észrevétlen maradt az akkori biztonsági programok előtt. A kezdeti riadalom hamar alábbhagyott, mikor kiderült, hogy valójában nem igazi, rendszermagba beépülő megoldást használtak a készítők, csupán bizonyos kisebb részeket vettek kölcsön egy elterjedt nyílt forráskódú rootkitből.

Különféle trójai programok és férgek is rootkitek segítségével próbálnak észrevétlenek maradni, ilyenek például az idén megjelent Padodor és Hupigon trójaik, illetve a Myfip és a Maslan féregcsalád. Felmerülhet a kérdés az olvasóban, hogy az antivírus programok miért nem képesek még településük előtt detektálni a rootkiteket?

Valójában bizonyos esetekben ez megtörténik, viszont a vírusirtók szignatúra-alapú működése magával vonja, hogy mindig lesznek olyan kártevők, melyek átcsúsznak az ellenőrzésen, hiszen abban a pillanatban még ismeretlenek a szkenner számára. A fő probléma, hogy a legtöbb rootkit nyílt forráskódú, ezért egy víruskészítő saját kényére-kedvére módosíthatja a kódot, és az így lefordított kártevő már ismeretlennek fog számítani.

Mik a kilátások?

Jelenleg, 2005 vége felé egyelőre elsősorban a kémszoftverek készítői használnak rootkit technikákat, sajnos azonban minden jel arra mutat, hogy a férgek és egyéb kártevők írói is egyre gyakrabban kacsintgatnak ezen módszerek felé. A mostani trendek szerint a vírusok és férgek írói anyagilag egyre inkább érdekeltek abban, hogy teremtményük minél tovább működőképes és észrevétlen maradjon, ezért minden használható eszközt megpróbálnak bevetni a cél érdekében.

A jövőben minden bizonnyal egyre több olyan kártékony programot (főként hátsóajtó komponenseket és spam-proxy-kat) láthatunk majd, melyek rootkitek segítségével álcázzák működésüket. Természetesen a biztonságtechnikai szakemberek sem szemlélik tétlenül az eseményeket: a Microsoft például saját kutatócsoportot hozott létre a rootkit-probléma kezelésére (Strider GhostBuster), míg az F-Secure vírusvédelmi cég elsőként kínál olyan antivírus alkalmazást, mely saját fejlesztésű BlackLight nevezetű motorja által képes a rejtőzködő kártevők felismerésére. A Sysinternals ingyenesen elérhető segédprogramjai közül a RootkitRevealer segítségével is megvizsgálhatjuk rendszerünket.

Sajnos azonban a helyzet nagy mértékben hasonlít a vírusírók és irtók között tapasztalható rabló-pandúr játszmához: a rootkitek fejlesztői is egyre kifinomultabb technikák segítségével próbálják elrejteni alkotásukat, miközben a felismerő szoftverek is folyamatosan fejlődnek.

Jó hír, hogy egy praktikusan is használható rootkit valamilyen módon mindig is detektálható lesz: egy tökéletesen rejtőzködő megoldás a gyakorlati életben semmire sem használható, hiszen képtelen információkat kijuttatni, illetve fogadni a kompromittálódott rendszerről. Amennyiben viszont kommunikál, akkor valamiféle, még ha igen bonyolult módon is, észlelhető a jelenléte.

Ajánlott linkek:






Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.