Руткиты: McAfee обвиняет "open-source сообщество"



Компания McAfee, специализирующаяся на создании антивирусов и технологий компьютерной безопасности, опубликовала результаты своего исследования, относящегося к проблеме распространения руткитов. Полный текст статьи под названием "Руткиты: растущая угроза", в формате PDF, находится здесь.

Основные выводы, сделанные в статье McAfee:

1. Всего за три последних года использование технологий сокрытия (стелс-технологий) вредоносных программ (malware) возросло более чем на 600%.

2. В период с 2000 по 2005 гг. сложность руткитов возросла более чем на 400%.

3. Доля стелс-технологий, основанных на ОС Linux, сократилась к 2005 году до несущественных значений, тогда как в 2001 году она составляла 71%. В то же время, доля стелс-технологий, основанных на ОС Windows, за тот же период увеличилась на 2300%.

4. Среда "open-source", а также коллаборативные сайты и блоги, являются, в существенной степени, виновными как в росте распространения, так и в росте сложности руткитных компонентов. В качестве одного из таких сайтов, ответственных за совместное создание руткитов, в статье McAfee называется сайт rootkit.com.

Руткиты: краткая справка


Изначально руткит (rootkit) представлял собой всего лишь набор утилит, позволявших осуществлять доступ к отдельному компьютеру или сети на уровне администратора (такой доступ в Unix-системах называется корневым доступом, или root access, по-английски). Термин руткит относился, таким образом, к набору Unix-утилит, включавших в себя такие как ps, netstat, ls и passwd. Поскольку эти же самые утилиты могли использоваться и хакерами для сокрытия факта вторжения, то термин руткит стал ассоциироваться со стелс-технологиями, т.е. технологиями сокрытия своего присутствия. Когда эти технологии стали использоваться в среде Windows, термин руткит был перенесен и туда. В настоящее время термин руткит применяется для обозначения любых вредоносных программ - троянов, червей, вирусов и т.п., - использующих стелс-технологии для сокрытия факта своего присутствия в системе как от пользователя системы, так и от системных процессов.

Практика сокрытия вредоносного кода восходит к появлению самого первого PC-вируса, известного как Brain ("мозг"). Вирус Brain впервые появился в 1986 году и осуществлял заражение загрузочного сектора дискет. Примечательно, что авторы вируса Brain - братья Basit и Amjad Farooq Alvi (Пакистан) - создали этот вирус с целью защиты своего медицинского ПО от несанкционированного копирования. По их задумке, целью вируса должны были стать исключительно пираты, нарушившие их авторские права. Код вируса Brain содержал в себе настоящие имена, адреса и телефонные номера своих создателей, а также сообщение, из которого следовало, что компьютер инфицирован вирусом и что для дезинфекции необходимо связаться с авторами по указанным телефонам.

Вирус Brain прятался от обнаружения, перехватывая запросы к загрузочному сектору и перенаправляя эти запросы к другим секторам флоппи-диска. Появившийся в ноябре 1987 года вирус Lehigh, названный так по названию университета Lehigh в США, где он был обнаружен, не вышел за пределы университета именно по той причине, что он не использовал стелс-технологий для своего сокрытия. Вскоре создатели вирусов уже хорошо понимали, что выживание и распространение вируса прежде всего зависит от того, насколько долго код вируса сможет оставаться незамеченным.

Появление и распространение в середине 90-х годов операционной системы Windows сопровождались некоторым затишьем в создании и распространении руткитов, поскольку на Windows не действовали вирусы, написанные под DOS. Вирусописателям потребовалось некоторое время для того, чтобы изучить новую ОС и создать технологии по обходу ее защиты. Затишье закончилось к концу 2001 года с появлением трояна NTRootkit. В конце 2003 года появился троян HackerDefender. Оба эти трояна использовали технологии, позволявшие им скрывать факт своего присутствия в системе.

RootkitRevealer - бесплатная программа от компании Sysinternals, позволяющая обнаруживать руткиты. RootkitRevealer выполняет сравнение двух сканирований системы: одно сканирование проводится с использованием Windows API верхнего уровня, а второе – на самом нижнем уровне (файловая система и данные реестра), после чего сообщает обо всех найденных несоответствиях, так что в случае, если какой-то объект (файл или параметр в реестре) обнаруживается при низкоуровневом сканировании и невидим на более высоком уровне, он попадает в отчет.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
07.08.2020 20:09

Россия стала лидером по числу людей, столкнувшихся со слежкой через смартфоны

За первые шесть месяцев 2020 года число российских пользователей, на мобильных устройствах которых были зафиксированы приложения для слежки, увеличилось на 28%

07.08.2020 16:15

Число атак через удаленный рабочий стол выросло в два раза

Ранее эксперты подсчитали, что с начала 2020 года Россия заняла первое место по количеству уникальных атак такого типа

05.08.2020 21:15

В Рунете появилось более 200 фейковых сайтов сервисов доставки еды и электроники

Пандемия спровоцировала появление фейковых сайтов служб доставки, эксперты обнаружили в Рунете более 200 клонов «Сбермаркета», «Яндекс.Еды» и других известных онлайн-сервисов

05.08.2020 13:07

Систему распознавания лиц в московском метро развернут за 1,38 млрд рублей

Провайдер «Максимателеком» выиграл конкурс на оснащение вагонов Московского метрополитена системой видеонаблюдения с функцией распознавания лиц

04.08.2020 07:55

В Даркнет утекла база данных проголосовавших по поправкам к Конституции

Эксперты в области кибербезопасности видят в происходящем опасную тенденцию: государственные IT-ресурсы слабо защищены, а чиновники не понимают важность информационной безопасности

Популярное: Безопасность
07.08.2020 20:09

Россия стала лидером по числу людей, столкнувшихся со слежкой через смартфоны

За первые шесть месяцев 2020 года число российских пользователей, на мобильных устройствах которых были зафиксированы приложения для слежки, увеличилось на 28%

07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть

07.08.2020 16:15

Число атак через удаленный рабочий стол выросло в два раза

Ранее эксперты подсчитали, что с начала 2020 года Россия заняла первое место по количеству уникальных атак такого типа

29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить

05.08.2020 13:07

Систему распознавания лиц в московском метро развернут за 1,38 млрд рублей

Провайдер «Максимателеком» выиграл конкурс на оснащение вагонов Московского метрополитена системой видеонаблюдения с функцией распознавания лиц

» Оставьте первым свой комментарий

Новости /
Безопасность /
Руткиты: McAfee обвиняет "open-source сообщество"
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика