Руткиты порождают последователей

Вирусы и сетевые агенты-роботы учатся скрывать свои коды

Специалисты в области безопасности предупреждают: создатели компьютерных вирусов и программ дистанционного управления (так называемых агентов-роботов, или, по-английски, bot’ов) начинают пользоваться методами программ-невидимок типа "руткит" (rootkit). Цель ясна - скрыть несанкционированные процессы от средств контроля системы.

Новые версии Rbot - распространенной вредоносной программы дистанционного управления - вобрали в себя ряд функций хорошо известного руткита с открытым кодом Fu, что сделало их невидимыми для средств системного мониторинга. И это, по мнению директора антивирусных исследований хельсинкской корпорации F-Secure Микко Хиппонена, лишь последний пример того, как создатели опасных программ берут на вооружение опыт по сокрытию кодов руткитов.

Вариации Rbot появляются чуть ли не ежедневно, однако в последнее время, подчеркивает Хиппонен, в них встраивается версия программного драйвера Fu. Установив специальный фрагмент кода на инфицированной системе, Rbot получает возможность сделать свои процессы невидимыми как для диспетчера задач Windows, так и для других подобных средств мониторинга.

Интеграция Fu в Rbot проведена довольно грубо. Похоже, это делал начинающий программист, который просто скопировал исходник Fu, опубликованный в Интернете создателем руткита Джейми Батлером (ник Fuzen) в подтверждение своей концепции.

Однако Хиппонену известны и другие вредоносные программы, авторы которых проявили больше изобретательности. Функции Fu, скажем, появились в последней версии червя Myfip.H, благодаря чему тот получил возможность манипулировать данными в системном ядре, что, в свою очередь, позволило ему скрывать собственные процессы.

Исходный текст Fu - великолепный источник информации для авторов вредоносных программ. Сама эта разработка, правда, к классу "чистых" руткитов не относится, так как избежать обнаружения не пытается. Это значит, что вирусы и другие вредители с компонентами Fu все же могут обнаруживаться сканерами безопасности. Даже не отмечая опасного процесса-невидимки, они все же будут реагировать на код Fu.

Другие создатели вирусов, похоже, чтобы избежать обнаружения своих произведений, взяли на вооружение методы "настоящих" руткитов. Пример тому - последняя версия червя Sober.P, использующая блокировку ввода-вывода. Как отмечают эксперты, подобный прием не мешает обнаруживать зараженные сообщения электронной почты, но делает Sober.P невидимым для антивирусного ПО.

Ситуация осложняется тем, что многие антивирусные продукты просто не выполняют так называемого сканирования доступа к памяти, хотя именно оно позволяет легко выявлять описанные выше уловки. Все дело в том, как считает вице-президент группы экстренного антивирусного реагирования фирмы McAffee Винсент Гулотто, что выполнение подобной операции сильно тормозит работу системы. "Слишком уж много программ что-то записывают в память и считывают из нее", - поясняет он.

Несмотря на то что Rbot, Myfip.H и Sober.P выявляются довольно легко, Хиппонен видит в конвергенции руткитов, вирусов и агентов-роботов новую угрозу для компьютерных пользователей. Ведь во вредоносные программы могут быть интегрированы и более изощренные руткиты наподобие Hacker Defender, которые обнаружить гораздо сложнее.

Сейчас F-Secure тестирует приложение BlackLight, предназначенное для выявления руткитов и способное обнаруживать некоторые из таких вредоносных программ. Бесплатный сканер под названием Vice, позволяющий следить за Fu, опубликовал в Интернете и Батлер. Однако большинство производителей антивирусных средств пока не предусматривает в своих продуктах функции обнаружения руткитов.