-
В Антивирусе Касперского руткитов нет
Марк Руссинович, известный эксперт в области компьютерной безопасности, активно участвовавший в скандале вокруг руткита Sony, предположил, что в наших продуктах также используются руткит-технологии. Его комментарии были приведены, например, сайтом PCWorld. Марк заявил следующее: «the techniques used by ... Kaspersky's Anti-Virus products are rootkits, a term usually reserved for the techniques that malicious software uses to avoid detection on an infected PC» («технологии, используемые в ... Антивирусе Касперского, являются руткитами, которые обычно применяются вредоносными программами для сокрытия своего присутствия на зараженном ПК»).
В наших продуктах действительно используется технология iStreams, о которой и говорит Руссинович. Но это никак не руткит.
Уже два года технология iStreams используется нами для увеличения скорости сканирования. Грубо говоря, наши продукты с технологией iStreams используют NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера. Если контрольная сумма остается неизменной между двумя сканированиями файла, то это означает, что файл не изменялся с момента предыдущей проверки, и повторное сканирование не требуется.
Для просмотра альтернативных потоков данных NTFS необходимы специальные утилиты. Если антивирус запущен, то он скрывает созданные им потоки, поскольку они являются внутренней служебной информацией программы. Тот факт, что вы не можете увидеть эти потоки даже при помощи специальной утилиты, не делает их опасными. Это также не означает, что продукт, использующий подобные скрытые потоки содержит в себе руткит-технологии.
Мы не считаем эту технологию руткитом и не верим, что ей могут воспользоваться хакеры или вредоносные программы по следующим причинам:
* Если Антивирус Касперского запущен, то потоки скрыты, и ни один другой процесс (включая системные) не может получить к ним доступа.
* Если антивирус выгружен, то потоки становятся видимыми и их можно просмотреть при помощи соответствующих утилит (это стандартное поведение потоков NTFS).
* Если поток переписан какими-либо (потенциально вредоносными) данными или кодом (например, после перезагрузки в безопасном режиме), то при следующей загрузке системы Антивирус Касперского прочитает потоки, не сумеет распознать их формат и построит базу контрольных сумм заново, удалив любые незнакомые ему данные и код.
В статье PCWorld также говорится следующее: «Хоть Руссинович и соглашается с тем, что применяемые Symantec и Kaspersky технологии сокрытия не так опасны, как технологии Sony, которую довольно быстро начали использовать вирусописатели, он утверждает, что все три компании прибегают к методам, опасным для пользователей и непригодным с точки зрения экспертов по компьютерной безопасности».
Никакой опасности для пользователей Антивируса Касперского нет, поскольку нет возможности использовать создаваемые потоки данных иначе, чем задумано авторами антивируса. Думаю, нам следует четко различать вредоносные (или опасные) руткит-технологии и технологии сокрытия, которые не могут быть использованы вредоносными программами.
Наши продукты используют технологию iStreams для увеличения производительности. Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков. Только поэтому в следующей версии наших продуктов будет использоваться иная технология, обладающая аналогичными плюсами, но лишенная этого минуса.
Руссинович также сказал: «You don't want IT not knowing what's on the systems. ... Not being able to go to the system to do software inventory and disk space inventory, that's just not a good idea» («Нельзя, чтобы IT-профессионалы не знали, что содержится на их компьютерах. ... Невозможность установить, какие программы есть в вашем компьютере, чем заполнен ваш жесткий диск — это просто не самая хорошая идея»).
Я считаю, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов.
Разные программные продукты используют собственные форматы хранения данных, включая собственные форматы сжатия и шифрации. Таким образом, даже IT-профессионалы не знают, что находится внутри файлов подобных форматов. Я не знаю, что находится внутри каждого файла данных на моем собственном компьютере, как не знаю и всех слов из всех книг своей домашней библиотеки.
Суммируя: я считаю, что проблема «руткитов» чрезмерно раздута. Нам всем — и специалистам-экспертам, и журналистам — следует внимательнее относиться к используемым нами терминам. Нельзя дезинформировать обычных пользователей, неспособных самостоятельно разобраться в сути проблемы.
Веблог ЛК
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Full Member
- Вес репутации
- 69
ЛЮБАЯ тайна порождает дополнительный интерес. И повышение производительности слегка странными методами рано или поздно превратит производительность в огромную проблему.
Ну нет ничего секретного на свете, кроме души человеческой, да и та рано или поздно покажет сама себя
Извините за флейм.
-
Гы гы гы. Выгружаем касперского, меняем контрольные суммы, загружаем касперского.... А кстати, перехват ZwOpenProcess (и еще нескольких функций, сраные левые джампы и т.д.) чем не руткит? %)) Помню, были у меня проблемы и с деинсталляцией известного klif.sys.... Руссинович еще не раскрыл тему полностью %)
-
Это типа Каспер один большой руткит
-
В Версии 2006 эта технология уже не используется
-
-
Visiting Helper
- Вес репутации
- 76
>А кстати, перехват ZwOpenProcess
В таком случае в мире оооочень много руткитов... еслиб Вы Xen понимали термин "rootkit" выбы такое не говорили...
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Термин руткит мне вполне понятен, а запостил я в этом треде скорее в целях поиронизировать...
-
Сообщение от
Xen
Термин руткит мне вполне понятен, а запостил я в этом треде скорее в целях поиронизировать...
термин руткит - код перехватывающий функции с целью сокрытия чегото от чеголибо.
перехватом (zw)TerminateProcess & (zw)OpenProcess спрятать ничего нельзя
-
-
Сообщение от
Sanja_Guest
термин руткит - код перехватывающий функции с целью сокрытия чегото от чеголибо.
а я-то думал, что слово "root" обозначает вовсе не "перехват" и даже не "сокрытие"...
-
-
Ок, ликбез.
Термин изначально пошел из *nix среды, в которой логин администратора традиционно называется root. Соответственно, средство для его удержания - rootkit, а так как удерживаем нелегально, то опять же классический руткит включает в себя средства маскировки деятельности чужака, чаще всего - на уровне ядра, в случае линукса 2.4 не самых поздних версий - методом перехвата syscall table, что достаточно схоже с Windows-руткитами.
В наши дни руткитами несведующие люди обзывают все, что так или иначе применяет перехват системных вызовов или юзермод функций. Это в целом не совсем корректно, руткит - средство для удержания привелегий системного администратора на атакуемой машине... Однако схожий код применяется в самых различных приложениях, в антивирусах, системах контроля DRM и т.д. и т.п...
-
Сообщение от
MOCT
а я-то думал, что слово "root" обозначает вовсе не "перехват" и даже не "сокрытие"...
обозначает - да...
но терминология сейчас поменялась...
да и даже в прошлой терминологии руткит - код помогающий получить или удерживать права рута к перехфату (zw)TermianteProcess i OpenProcess неподходит Ж)
-
-
(zw)TermianteProcess i OpenProcess неподходит Ж)[/QUOTE]
Хех нечитая твой пост Ксен ответил также Ж) ты совершенно прав в терминологии но неправ по поводу перехвата функций
-
-
Symantec признала использование rootkit-подобных технологий в своем продукте Norton SystemWorks и уже выпустила обновление устраняющее данную проблему.
http://www.eweek.com/article2/0,1895,1910077,00.asp
Norton SystemWorks имеет функцию "Protected Recycle Bin", она позволяет пользователю восстановить удаленные ранее файлы, которые иначе были бы невосстанавливаемы. Файлы хранятся в папке C:\Recycler\Nprotect, - и эта папка скрыта с использованием rootkit технологии. Потенциальная проблема в том что любой malware уже запущенный в системе может скопировать себя в эту папку, - и SystemWorks скроет его от пользователя и от антивирусного сканера.
http://www.f-secure.com/weblog/archi....html#00000776
Rootkit'ом традиционно считают инструментарий используемый хакерами для скрытия присутствия злонамеренных файлов и программного обеспечения в системе, но есть некоторые дебаты относительно того нужно ли все программное обеспечение которое использует эти методы сокрытия называть rootkit.
Определение термина "rootkit" стало важной проблемой для Symantec, которая не хочет попасть в ситуацию с Sony BMG Music Entertainment, встроившую rootkit в свое DRM ПО. Эксперты признают что ПО Sony было намного более опасно чем Symantec, но ведь и ПО от Sony использовало методы сокрытия не для захвата контроля за системой пользователя, а только для обеспечения управления правами копирования.
Марк Руссинович, первым обнаруживший использование rootkit технологии в ПО Sony привел доводы в пользу строго технического определения термина, т.к. по его словам "мотивации должны быть отделены от определения, а последнее должно быть технологически ориентированным и не нести социальных компонент". Это мнение расходится с мнением Symantec.
http://www.infoworld.com/article/06/...rootkit_1.html
В Risk Model Description, опубликованной Anti-Spyware Coalition (куда среди прочих входит и Symantec) "сокрытие файлов, процессов или другой информации от пользователя или системных утилит" отнесено к высокому фактору риска
-