«Эволюция руткитов»

[Гриша]

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о публикации статьи вирусного аналитика компании Алисы Шевченко под названием «Эволюция руткитов».

«Эволюция руткитов» – третья из цикла статей Алисы Шевченко, посвященных эволюции явлений в мире вирусов и антивирусных решений. Руткиты, по определению автора, это программы, использующие технологии сокрытия системных объектов (файлов, процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений и пр.) посредством обхода ее механизмов. В статье коротко рассказывается о развитии руткитов с момента их появления до настоящего времени. Статья предназначена для читателей, обладающих определенными техническими знаниями и интересующихся историей вопроса, который сейчас широко обсуждается в индустрии информационной безопасности. Речь идет преимущественно о Windows-руткитах, представляющих наибольший интерес для вирусописателей в силу популярности Windows.

Хотя сам термин «руткит» пришел из мира UNIX, у современных Windows-руткитов есть более близкий по функционалу предшественник – стелс-вирусы для DOS, которые появились в 90-х. Эти вирусы скрывали себя от пользователя и от антивирусных программ. Позднее эти технологии стали использоваться в Windows-руткитах для того, чтобы маскировать другие вредоносные программы.

Windows-руткиты появились десятью годами позже стелс-вирусов. В статье рассказывается об их происхождении, первом внедрении, функционале. Как только технологии создания руткитов были освоены, они стали широко использоваться в различных вредоносных программах. Однако изначально количество руткитов-вредоносов и способов их применения было сравнительно мало,.

В 2005 году руткит-технологии стали настолько широко применяться, что привлекли внимание СМИ. Выяснилось, что эти технологии использовались не только во вредоносных программах, но и в коммерческих продуктах. Пример тому – скандал с Sony DRM, случившийся в 2006 году.

И антивирусная индустрия, и независимые разработчики отреагировали на использование руткит-технологий созданием большого количества технологий, утилит и продуктов предназначенных для борьбы с руткитами.

В статье описаны последние тенденции в области развития руткитов и борьбы с ними: буткиты (руткиты, заражающие загрузочный сектор диска), мифический руткит Rustock.c, широко обсуждавшийся в Интернете в конце 2006 года, руткиты для не-Windows систем, таких как OS X (Macintosh) и мобильные операционные системы. Автор приходит к следующему заключению: хотя руткиты стали вполне обыденным являением, не выделяющимся из общей массы вредоносного ПО, проблема обхода системных механизмов защиты в целях маскировки явно еще существует, что позволяет ожидать появления новых угроз в этой области.

С полной версией статьи можно ознакомиться на информационно-аналитическом ресурсе Viruslist.ru.