Czy jest możliwe, żeby w dzisiejszych czasach wirus został odkryty na wolności po dobrych kilku dniach? Wydaje się, że nie – mnogość różnych programów AV, do tego różnego rodzaju zabezpieczenia przeglądarek i firewall. A jednak ostatnio pojawił się „fajny” rootkit. Dogłębną analizę można znaleźć na stronie GMER-a (http://www2.gmer.net/mbr/).

Ktoś zapyta, co jest takiego fajnego w tym rootkicie. Ano to, że nie ma on pliku (instaluje się w sektorach), więc cała ochrona antywirusowa oparta na FS filtrach idzie w diabły. Oczywiście pierwsza instalacja jest z pliku i jak to zwykle bywa, użytkownik sam musi wirusa odpalić (de facto jest to najczęstszy sposób zarażenia komputera – ignorancja/niewiedza usera), choć istnieje też możliwość automatycznej instalacji wirusa przez dziury w systemie lub zainstalowanym oprogramowaniu.

Sytuacja jakiś czas temu wyglądała naprawdę biednie, gdyż jedynie GMER potrafił wykryć rootkita. Później sytuacja jeszcze bardziej się pogorszyła (jeżeli w ogóle to możliwe), bo najnowsze wersje wirusa były niewidzialne nawet dla GMER-a. Na szczęście ludzie z firm AV wzięli się do roboty. Obecnie działającego rootkita potrafi wykryć wiele programów AV, a dodatkowo istnieją też darmowe aplikacje, np. F-Secure BlackLigth czy Eset SystemInspector. Nowej, stabilnej wersji GMER-a chwilowo nie widać i wykrywa on tylko starsze wersje rootkita, choć jak ktoś przekopie stronę, to zauważy wersję beta, wykrywającą już najnowszą mutację rootkita.

Tak to wygląda w działaniu:

Dlaczego napisałem „nowe stare zagrożenia”? Sprawa jest prosta – rootkit instaluje swój początkowy kod w MBR (czyli przed startem systemu, w pierwszym sektorze dysku). Jest to technika znana jeszcze z poczciwego DOS-u. Nowa, bo pierwszy raz można spotkać rootkita (in the wild), który tę technikę stosuje, by zmodyfikować jądro systemu (podobną rzecz robi VBootKit, ale to jest proof-of-concept, nie malware) i załadować sterownik, który przejmie wszystkie odczyty/zapisy na dysk. Właśnie to „przejęcie dysku” plus instalacja w sektorach czynią tego rootkita niewykrywalnym dla programów AV. Teraz trzeba specjalnie szukać rootkita, bo normalne techniki ochrony zawodzą.

Cóż, moja zasada z artykułu o rootkitach sprawdza się w 100%. Na dziś sam AV może nie wystarczyć, warto więc raz na jakiś czas przeskanować komputer wyspecjalizowanym softem do wykrywania ukrytych rzeczy.

Marcin Gabryszewski

Przydatne programy (alfabetycznie):
1. ESET SystemInspector – http://www.eset.eu/sysinspector32_enu,
2. F-Secure BlackLight – ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe,
3. GMER – http://gmer.net/gmer.zip, wersja beta tutaj – http://www2.gmer.net/beta/gmer.exe.

PS Oops, zapomniałem napisać, co to za rootkit – ogólnie to Mebroot aka Sinowal.