“Лаборатория Касперского” (ЛК) решила отреагировать на появившиеся в СМИ статьи эксперта в области компьютерной безопасности Марка Руссиновича об использовании вредоносных rootkit-технологий в ее антивирусных продуктах. Г-н Руссинович утверждает, что ЛК использует некоторые особенности rootkit-технологий в своих продуктах. В связи с этим ЛК сообщает, что в “Антивирусе Касперского” начиная с пятой версии применяется технология iStreams и использование термина rootkit для ее описания не является корректным.
Технология iStreams позволяет повышать производительность процесса сканирования на компьютере пользователя за счет использования альтернативных потоков данных NTFS для хранения данных о контрольных суммах файлов в системе пользователя. Если контрольная сумма файла остается неизменной со времени последнего сканирования, антивирусная программа понимает, что никаких действий с файлом не производилось и повторное сканирование осуществлять не нужно.
Для просмотра альтернативных потоков данных NTFS требуются специальные программы. По мнению экспертов ЛК, тот факт, что эти потоки не являются видимыми в автоматическом режиме, вовсе не означает, что технология, их использующая, является вредоносной. Одним словом, iStreams не может нанести вред компьютерам пользователей. Если “Антивирус Касперского” активен, упомянутые выше потоки скрыты и к ним нет доступа со стороны любых процессов, включая системные. Если же продукт отключен, то данные потоки становятся видимыми при помощи специальных программ.
Если поток перезаписан какими-либо — возможно, вредоносными — кодами (например, после перезагрузки компьютера в безопасном режиме), то в момент следующей перезагрузки системы “Антивирус Касперского” при чтении такого потока не распознаёт его формат и начинает формирование базы данных контрольных сумм файлов заново. Таким образом, вредоносные данные уничтожаются.
Специалисты ЛК утверждают, что технология iStreams дает пользователям “Антивируса Касперского” ощутимые преимущества в плане производительности и при этом не представляет собой никакой опасности. Единственным небольшим недостатком данной технологии является то, что на деинсталляцию антивирусной программы требуется больше времени, так как необходимо удалить данные из потоков.
Тем не менее в следующей версии “Антивируса Касперского” ЛК намерена задействовать альтернативный механизм, не использующий технологию iStreams, но имеющий тот же уровень производительности.
Более подробные комментарии ЛК по этому поводу доступны по адресу: www.viruslist.com/ru/weblog.
В. М.