Komponenter

Brukt til å infisere Windows-PCer og gjøre dem til uvitende spam-servere, er Rustock.C en rootkit som installerer seg på Windows-operativsystemet og bruker en rekke sofistikerte teknikker som gjør det nesten umulig å oppdage eller til og med analysere.

Removing Spyware and Malware from a Windows PC Using Spybot Search and Destroy

Removing Spyware and Malware from a Windows PC Using Spybot Search and Destroy
Anonim

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Analysere en rootkit er vanligvis en kvelds jobb for noen med Boldewins tekniske ferdigheter. Med Rustock.C tok det seg imidlertid dager til å finne ut hvordan programvaren fungerte.

Fordi det er så vanskelig å få øye på, mener Boldewin, en sikkerhetsforsker med tysk IT-leverandør GAD, at Rustock.C hadde eksistert i nesten et år før antivirusprodukter begynte å oppdage det.

Dette er historien med rootkits. De er sneaky. Men er de en stor trussel?

I slutten av 2005 oppdaget Mark Russinovich den mest berømte rotkiten. En windows sikkerhetsekspert, Russinovich, ble forvirret en dag da han oppdaget en rootkit på sin PC. Etter litt sleuthing oppdaget han til slutt at kopibeskyttet programvare som ble brukt av Sony BMG Music Entertainment, faktisk brukte rootkit-teknikker til å skjule seg på datamaskiner. Sony's programvare ble ikke designet for å gjøre noe ondsinnet, men det var nesten uoppdagelig og ekstremt vanskelig å fjerne.

Sonys rootkit ble en stor PR-katastrofe for selskapet, som brukte millioner i juridiske bosetninger med brukere som var berørt av programvaren.

Tre år senere anser Russinovich, en teknisk medarbeider med Microsoft, det rootkit som forårsaket mest mulig problemer for datautbrukerne.

Men Sony rootkit har også hatt problemer med antivirusleverandørene. Det faktum at ingen av dem selv hadde lagt merke til denne programvaren i omtrent et år var et seriøst svart øye for sikkerhetsbransjen. Selv om de startet på Unix-maskiner år tidligere, da Sony fiasco var, ble rootkits vurdert den neste store trusselen mot antivirusleverandører. Sikkerhetsforskere undersøkte bruken av virtualiseringsteknologi for å skjule rootkits og diskutert om en helt uoppdagelig rotkit kunne opprettes en dag.

Men Russinovich sier nå at rootkits ikke har levd opp til sin hype. "De er ikke så utbredt som alle forventet dem å være," sa han i et intervju.

"Malware virker i dag veldig forskjellig fra når rotkit-rasen pågikk," sa han. "Da vil malware kaste popups over hele skrivebordet ditt og ta over nettleseren din. I dag ser vi en helt annen type malware."

Dagens malware løper stille i bakgrunnen, spamming eller hosting sine ekkel nettsteder uten offer som noensinne ser hva som skjer. Ironisk nok, selv om de er bygd for å unngå deteksjon, er de mest sofistikerte kjerne-nivå rootkits ofte så utrolig påtrengende at de trekker oppmerksomhet mot seg selv, sier sikkerhetseksperter.

"Det er ekstremt vanskelig å skrive kode for kjernen din som ikke krasj datamaskinen din, "sa Alfred Huger, visepresident for Symantecs sikkerhetsrespons. "Programvaren kan gå på noen andre ganske enkelt."

Huger er enig i at mens rootkits fortsatt er et problem for Unix-brukere, er de ikke utbredt på Windows-PCer.

Rootkits utgjør langt mindre enn 1 prosent av alt forsøket på infeksjoner som Symantec sporer i disse dager. Som for Rustock.C, til tross for all sin tekniske raffinement, har Symantec bare oppdaget det i det hele tatt 300 ganger.

"På hele malware-spekteret er det et veldig lite stykke, og det er av begrenset risiko i dag," sa Huger.

Ikke alle er enige om Symantecs funn, men. Thierry Zoller, direktør for produktsikkerhet med n.runs, sier at Rustock.C ble distribuert mye via det beryktede russiske bedriftsnettverket, og at infeksjoner er mest sannsynlig i titusenvis.

"Rootkits ble brukt til å holde tilgang til en kompromitterte mål så lenge som mulig og aldri hatt målet om å bli spredt utbredt, sa han i et intervju som ble gjennomført via direktemeldinger.

Til slutt kan kriminelle unngår rotkits av en veldig enkel grunn: De gjør det bare ikke trenger dem.

I stedet for å bruke snikende rootkit-teknikker har hackere i stedet utviklet nye teknikker for å gjøre det vanskelig for antivirusleverandører å fortelle forskjellen mellom deres programvare og legitime programmer. For eksempel gjør de tusenvis av forskjellige versjoner av et ondsinnet program, og kaster opp koden hver gang slik at antivirusprodukter har det vanskelig å se det.

I andre halvår 2007 spore Symantec nesten en halv million Nye typer ondsinnet kode, opp 136 prosent fra første halvår. Sikkerhetseksperter sier at denne situasjonen er enda verre i 2008.

"Det som ikke er så komplisert, er ikke så komplisert," sier Greg Hoglund, konsernsjef for HBGary, et selskap som selger programvare for å hjelpe kundene med å reagere på datamaskininntrengninger. "Det meste av malware som er der ute i dag … prøver ikke engang å skjule."

For eksempel ble en av HB Garys kunder nylig rammet av et målrettet angrep. De onde gutta visste nøyaktig hva de ville, og etter at de hadde gått inn i nettverket, swiped informasjonen før selskapets hendelsesresponssteam kunne komme dit, sa Hoglund. "Det var veldig klart at angriperne visste at de ville komme seg unna dataene så raskt at de ikke engang måtte skjule."