Новость дня: Выпущена Windows 10 October 2020 Update

Руткиты: McAfee обвиняет "open-source сообщество"



Компания McAfee, специализирующаяся на создании антивирусов и технологий компьютерной безопасности, опубликовала результаты своего исследования, относящегося к проблеме распространения руткитов. Полный текст статьи под названием "Руткиты: растущая угроза", в формате PDF, находится здесь.

Основные выводы, сделанные в статье McAfee:

1. Всего за три последних года использование технологий сокрытия (стелс-технологий) вредоносных программ (malware) возросло более чем на 600%.

2. В период с 2000 по 2005 гг. сложность руткитов возросла более чем на 400%.

3. Доля стелс-технологий, основанных на ОС Linux, сократилась к 2005 году до несущественных значений, тогда как в 2001 году она составляла 71%. В то же время, доля стелс-технологий, основанных на ОС Windows, за тот же период увеличилась на 2300%.

4. Среда "open-source", а также коллаборативные сайты и блоги, являются, в существенной степени, виновными как в росте распространения, так и в росте сложности руткитных компонентов. В качестве одного из таких сайтов, ответственных за совместное создание руткитов, в статье McAfee называется сайт rootkit.com.

Руткиты: краткая справка


Изначально руткит (rootkit) представлял собой всего лишь набор утилит, позволявших осуществлять доступ к отдельному компьютеру или сети на уровне администратора (такой доступ в Unix-системах называется корневым доступом, или root access, по-английски). Термин руткит относился, таким образом, к набору Unix-утилит, включавших в себя такие как ps, netstat, ls и passwd. Поскольку эти же самые утилиты могли использоваться и хакерами для сокрытия факта вторжения, то термин руткит стал ассоциироваться со стелс-технологиями, т.е. технологиями сокрытия своего присутствия. Когда эти технологии стали использоваться в среде Windows, термин руткит был перенесен и туда. В настоящее время термин руткит применяется для обозначения любых вредоносных программ - троянов, червей, вирусов и т.п., - использующих стелс-технологии для сокрытия факта своего присутствия в системе как от пользователя системы, так и от системных процессов.

Практика сокрытия вредоносного кода восходит к появлению самого первого PC-вируса, известного как Brain ("мозг"). Вирус Brain впервые появился в 1986 году и осуществлял заражение загрузочного сектора дискет. Примечательно, что авторы вируса Brain - братья Basit и Amjad Farooq Alvi (Пакистан) - создали этот вирус с целью защиты своего медицинского ПО от несанкционированного копирования. По их задумке, целью вируса должны были стать исключительно пираты, нарушившие их авторские права. Код вируса Brain содержал в себе настоящие имена, адреса и телефонные номера своих создателей, а также сообщение, из которого следовало, что компьютер инфицирован вирусом и что для дезинфекции необходимо связаться с авторами по указанным телефонам.

Вирус Brain прятался от обнаружения, перехватывая запросы к загрузочному сектору и перенаправляя эти запросы к другим секторам флоппи-диска. Появившийся в ноябре 1987 года вирус Lehigh, названный так по названию университета Lehigh в США, где он был обнаружен, не вышел за пределы университета именно по той причине, что он не использовал стелс-технологий для своего сокрытия. Вскоре создатели вирусов уже хорошо понимали, что выживание и распространение вируса прежде всего зависит от того, насколько долго код вируса сможет оставаться незамеченным.

Появление и распространение в середине 90-х годов операционной системы Windows сопровождались некоторым затишьем в создании и распространении руткитов, поскольку на Windows не действовали вирусы, написанные под DOS. Вирусописателям потребовалось некоторое время для того, чтобы изучить новую ОС и создать технологии по обходу ее защиты. Затишье закончилось к концу 2001 года с появлением трояна NTRootkit. В конце 2003 года появился троян HackerDefender. Оба эти трояна использовали технологии, позволявшие им скрывать факт своего присутствия в системе.

RootkitRevealer - бесплатная программа от компании Sysinternals, позволяющая обнаруживать руткиты. RootkitRevealer выполняет сравнение двух сканирований системы: одно сканирование проводится с использованием Windows API верхнего уровня, а второе – на самом нижнем уровне (файловая система и данные реестра), после чего сообщает обо всех найденных несоответствиях, так что в случае, если какой-то объект (файл или параметр в реестре) обнаруживается при низкоуровневом сканировании и невидим на более высоком уровне, он попадает в отчет.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
29.10.2020 22:22

В Москве задержали 13 участников банды, кравшей деньги с банковских карт

По предварительным данным, подозреваемые оформили свыше 420 заказов техники, совершив более 70 хищений


20.10.2020 16:23

Северокорейские хакеры Kimsuky атакуют российскую оборонку

Северокорейская хакерская группировка Kimsuky заинтересовалась военными и промышленными организациями в России


12.10.2020 16:39

Военные США атаковали сеть «русских киберпреступников»

Одной из целей проведенной операции являлось ослабление потенциальной способности ботнета повлиять на предстоящие президентские выборы в США


06.10.2020 20:52

Собянин заблокировал приложение для бесплатного проезда школьников и пенсионеров

Мэр Москвы Сергей Собянин объявил о новых мерах, направленных на борьбу с распространением коронавируса в столице


30.09.2020 18:06

В Минпромторге сообщили об иностранных утюгах с прослушкой

В России обнаружены произведенные за границей утюги «с закладками», способные вести прослушку


Популярное: Безопасность
07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


29.10.2020 22:22

В Москве задержали 13 участников банды, кравшей деньги с банковских карт

По предварительным данным, подозреваемые оформили свыше 420 заказов техники, совершив более 70 хищений


28.11.2017 06:35

Как найти адрес The Hidden Wiki

The Hidden Wiki — это вики-энциклопедия со ссылками на различные ресурсы Даркнета, расположенные в псевдо-домене .onion


10.09.2019 16:36

МВД Беларуси закрыло крупный русскоязычный хакерский форум

Министерство внутренних дел и Следственный комитет Беларуси закрыли один из крупнейших хакерских форумов Рунета


» Оставьте первым свой комментарий

Новости /
Безопасность /
Руткиты: McAfee обвиняет "open-source сообщество"
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика