Руткиты: McAfee обвиняет "open-source сообщество"

[ALEX(XX)]

18 апр 2006

*****

Количество и качество руткитов, которыми хакеры пользуются для сокрытия вредоносных программ, стремительно растет. Такой вывод сделали специалисты подразделения McAfee - Avert Labs, сообщает сайт News.com. По итогам первого квартала текущего года, эксперты Avert Labs зафиксировали 700%-ный рост количества руткитов по сравнению с аналогичным периодом прошлого года.

Эксперты Avert Labs также включили в свой отчет данные по руткитам, входящим в состав коммерческих программ - таких как защита от копирования дисков, выпущенная Sony BMG в конце прошлого года. Несмотря на то, что руткиты используются с 1986 года, их число и качество значительно выросли за последние три года, отмечается в отчете McAfee. Только в первом квартале Avert Labs зафиксировала более 827 руткитов. За весь прошлый год было обнаружено 729 руткитов, при этом на первый квартал их пришлось около 70.

Быстрому развитию руткитов способствует широкое распространение программного обеспечения с открытым кодом. На сайтах разработчиков этого программного обеспечения и в блогах содержится огромное количество программных строк для руткитов. В результате хакерам становится гораздо проще создавать вредоносные файлы даже без глубоких знаний об атакуемых операционных системах.

"Открытая разработка не просто способствует распространению скрытых программ - она ускоряет их развитие", - отмечают авторы доклада. Один из параметров, по которому они оценивают сложность вновь появляющихся руткитов - число файлов, входящих в состав того или иного руткита. В первом квартале Avert Labs выявила 612 файлов-компонентов для руткитов, а в прошлом году за это время таких файлов было выявлено всего 60. McAfee отметила увеличение числа коммерческих программ, использующих технологии для скрытого выполнения кода. В число компаний, прибегающих к таким методам, попали Sony BMG и Symantec, которая позже отказалась от использования руткита в своем приложении для настройки ПК Norton SystemWorks.

Наиболее привлекательный объект для создателей руткитов - операционная система Windows. Однако значительная доля этих программ создается и для недокументированных приложений. "Мы можем предположить, что в ближайшие два-три года рост руткитов для существующей Windows-архитектуры достигнет порядка 650 процентов", - отмечают авторы отчета.

viruslist.com

[SDA]

Компания McAfee, специализирующаяся на создании антивирусов и технологий компьютерной безопасности, опубликовала результаты своего исследования, относящегося к проблеме распространения руткитов. Полный текст статьи под названием "Руткиты: растущая угроза", в формате PDF, находится здесьhttp://download.nai.com/products/mca..._Rootkits1.pdf.

Основные выводы, сделанные в статье McAfee:

1. Всего за три последних года использование технологий сокрытия (стелс-технологий) вредоносных программ (malware) возросло более чем на 600%.

2. В период с 2000 по 2005 гг. сложность руткитов возросла более чем на 400%.

3. Доля стелс-технологий, основанных на ОС Linux, сократилась к 2005 году до несущественных значений, тогда как в 2001 году она составляла 71%. В то же время, доля стелс-технологий, основанных на ОС Windows, за тот же период увеличилась на 2300%.

4. Среда "open-source", а также коллаборативные сайты и блоги, являются, в существенной степени, виновными как в росте распространения, так и в росте сложности руткитных компонентов. В качестве одного из таких сайтов, ответственных за совместное создание руткитов, в статье McAfee называется сайт rootkit.com.

Руткиты: краткая справка

Изначально руткит (rootkit) представлял собой всего лишь набор утилит, позволявших осуществлять доступ к отдельному компьютеру или сети на уровне администратора (такой доступ в Unix-системах называется корневым доступом, или root access, по-английски). Термин руткит относился, таким образом, к набору Unix-утилит, включавших в себя такие как ps, netstat, ls и passwd. Поскольку эти же самые утилиты могли использоваться и хакерами для сокрытия факта вторжения, то термин руткит стал ассоциироваться со стелс-технологиями, т.е. технологиями сокрытия своего присутствия. Когда эти технологии стали использоваться в среде Windows, термин руткит был перенесен и туда. В настоящее время термин руткит применяется для обозначения любых вредоносных программ - троянов, червей, вирусов и т.п., - использующих стелс-технологии для сокрытия факта своего присутствия в системе как от пользователя системы, так и от системных процессов.

Практика сокрытия вредоносного кода восходит к появлению самого первого PC-вируса, известного как Brain ("мозг"). Вирус Brain впервые появился в 1986 году и осуществлял заражение загрузочного сектора дискет. Примечательно, что авторы вируса Brain - братья Basit и Amjad Farooq Alvi (Пакистан) - создали этот вирус с целью защиты своего медицинского ПО от несанкционированного копирования. По их задумке, целью вируса должны были стать исключительно пираты, нарушившие их авторские права. Код вируса Brain содержал в себе настоящие имена, адреса и телефонные номера своих создателей, а также сообщение, из которого следовало, что компьютер инфицирован вирусом и что для дезинфекции необходимо связаться с авторами по указанным телефонам.

Вирус Brain прятался от обнаружения, перехватывая запросы к загрузочному сектору и перенаправляя эти запросы к другим секторам флоппи-диска. Появившийся в ноябре 1987 года вирус Lehigh, названный так по названию университета Lehigh в США, где он был обнаружен, не вышел за пределы университета именно по той причине, что он не использовал стелс-технологий для своего сокрытия. Вскоре создатели вирусов уже хорошо понимали, что выживание и распространение вируса прежде всего зависит от того, насколько долго код вируса сможет оставаться незамеченным.

Появление и распространение в середине 90-х годов операционной системы Windows сопровождались некоторым затишьем в создании и распространении руткитов, поскольку на Windows не действовали вирусы, написанные под DOS. Вирусописателям потребовалось некоторое время для того, чтобы изучить новую ОС и создать технологии по обходу ее защиты. Затишье закончилось к концу 2001 года с появлением трояна NTRootkit. В конце 2003 года появился троян HackerDefender. Оба эти трояна использовали технологии, позволявшие им скрывать факт своего присутствия в системе.

RootkitRevealer - бесплатная программа от компании Sysinternals, позволяющая обнаруживать руткиты. RootkitRevealer выполняет сравнение двух сканирований системы: одно сканирование проводится с использованием Windows API верхнего уровня, а второе – на самом нижнем уровне (файловая система и данные реестра), после чего сообщает обо всех найденных несоответствиях, так что в случае, если какой-то объект (файл или параметр в реестре) обнаруживается при низкоуровневом сканировании и невидим на более высоком уровне, он попадает в отчет.
Скачать http://www.securitylab.ru/software/234361.php