В сетях пышным цветом расцветают руткиты

НАПАСТИ

Утилиты скрытого управления - руткиты - становятся все более распространенным явлением в компьютерных сетях предприятий, отмечают эксперты по борьбе с вирусами. Они даже используются для создания серверов, с которых можно загружать пиратские копии фильмов и файлов MP3. Причем подобные серверы очень трудно обнаружить.

Компания F-Secure (Хельсинки, Финляндия), выпускающая антивирусное ПО, выявила руткиты в сетях многих своих клиентов. Создатели вредоносного кода заимствуют у руткитов такое свойство, как невидимость, и придают его интернет-червям, программам-агентам и троянским программам, сообщил Кимо Каслин, который занимается в F-Secure разработкой антивирусов. Несмотря на всплеск интереса со стороны пользователей, лишь немногие производители антивирусного ПО включают в свои продукты специальные средства обнаружения руткитов.

Руткиты - это программы, открывающие удаленному злоумышленнику доступ к взломанной системе и при этом позволяющие ему избежать обнаружения. Первые руткиты были созданы более 10 лет назад и использовались на машинах под управлением Unix, а на Windows-системах встречались редко, сказал Мико Хипонен, менеджер антивирусных исследований из F-Secure.

Однако положение начинает меняться. Руткиты с открытым исходным кодом - вроде FU, созданного Джеймсом Батлером, начальником отдела инжиниринга из компании HBGary, или Hacker Defender, написанного человеком, который пользуется сетевым именем "Святой отец", - работают на Windows-системах и с большим трудом выявляются с помощью антивирусного ПО или систем обнаружения вторжений.

Так называемые руткиты "уровня ядра" (kernel mode) наподобие Hacker Defender, который был выпущен в качестве продукта с открытым исходным кодом в январе 2004 г., манипулируют данными, когда они передаются в ядро ОС или из него. Их очень трудно засечь, сказал Хипонен.

Недавно была выпущена новая версия Hacker Defender под названием Golden Hacker Defender. Ее можно купить через Интернет за 450 евро. Данный продукт способен перехватывать информацию, необходимую для регистрации в Windows-системах, и имеет обновляемый механизм уклонения от обнаружения. Это позволяет ему засекать программы поиска руткитов, выпущенные несколькими компаниями, и уворачиваться от них.

F-Secure получила лишь два экземпляра Golden Hacker Defender от своих клиентов, которые обнаружили вредоносный код на Windows-серверах своих сетей, сообщил Хипонен.

"Святой отец", с которым удалось связаться по электронной почте, признал, что продавал копии Golden Hacker Defender. Но назвал эти продажи лишь малой частью своего бизнеса. Большинство версий Golden Hacker Defender создавалось для конкретных клиентов и представляет собой "штучные продукты". Однако "Святой отец", который утверждает, что живет в Чешской Республике, сказал, что проявляет осторожность при создании заказных версий программы и делает это только "для людей, которых он хорошо знает, т. е. для тех, кого ни в коем случае нельзя назвать плохими парнями".

Совсем недавно черви Maslan и Myfip продемонстрировали способность скрываться от обнаружения, позаимствованную у руткитов. А программы-агенты Mytob, Rbot и Sdbot распространяют перекомпилированные драйверы, также позаимствованные у руткитов типа FU и Hacker Defender, которые скрывают программы на Windows-системах.

В настоящее время F-Secure поставляет в составе пакета Internet Security продукт BlackLight, предназначенный для сканирования компьютеров с целью обнаружения руткитов. Московская компания "Лаборатория Касперского", разрабатывающая антивирусное ПО, по словам руководителя исследовательского подразделения Евгения Касперского, также планирует включить возможность выявления руткитов в свой следующий полностью обновленный продукт.

Тем не менее случаи обнаружения руткитов - это скорее исключение, чем правило, утверждает Батлер: "Клиенты производителей антивирусного ПО не требуют предоставить им возможность выявлять руткиты".

При этом во время Virus Bulletin International Conference исследователей из F-Secure завалили просьбами предоставить копии Golden Hacker Defender. Как сообщил Хипонен, многие просьбы исходили от исследователей из других ведущих компаний - производителей антивирусов.

"Святой отец" считает, что средства обнаружения, в частности BlackLight, становятся все совершеннее: "Прежде ни одна компания не проявляла беспокойства по поводу руткитов. Но сегодня имеется несколько инструментов, которые могут помочь администраторам достаточно надежно обезопасить свои компьютеры", - сказал "Святой отец".