Путеводитель по сайту

Используют ли антивирусные вендоры rootkit- и bootkit-подобные технологии?

Netler.ru - Слово о ПК и PC, или Хроника рефлексирующего сисадмина

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

·Статьи

·О ПК и PC

·Страничка Настроения

 

Find us on Facebook·Find us on Facebook

·ВКонтакте

 

·SAPE.RU – покупка и продажа ссылок

 

·Аксессуары для сотовых телефонов





 

 

Используют ли антивирусные вендоры rootkit- и bootkit-подобные технологии?

 

 

 

***

…Давно уже не секрет, что антивирусные вендоры используют в своих продуктах rootkit- и bootkit-подобные технологии (одним из первых на это обратил внимание в 2005 г. Марк Руссинович, Mark Russinovich).

 

В этом нет ничего удивительного и предосудительного: для эффективной защиты – нацеленной в числе прочего на упреждение вредоносного программного обеспечения (превентивные методы защиты) – антивирусы должны грузиться не после загрузки операционной системы, а вместе с нею (в идеале – даже до загрузки ядра ОС), чтобы иметь возможность проверки основной загрузочной записи (Master Boot Record, MBR) и проверять – по мере загрузки – доброкачественность загружаемых драйверов/служб/программ/файлов. Когда система загружена, антивирус – в числе прочего – должен иметь доступ как ко всем файлам (включая защищенные системные файлы), так и ко всем системным функциям. Если эти условия не выполняются, эффективность современного антивируса близка к нулю.

 

Удивляет другое. Понятно, когда интернет-СМИ раздувают вышеупомянутый факт, выставляя производителей антивирусов в невыгодном свете, – едва ли не сравнивая их с вирусописателями! – но на то они и СМИ, чтобы раздувать из мухи слона и выуживать жареные факты!..

 

Но когда представители антивирусных компаний, надувшись и обидевшись, заявляют, что их упреждающие технологии не имеют ничего общего с технологией руткитов и буткитов, – это, по меньшей мере, не соответствует действительности!..

 

Настоящая проблема этого явления, на мой взгляд, лежит совсем в другой плоскости: некоторые модули современных антивирусов остаются в системе даже после корректной унинсталляции программы. Как правило, они грузятся вместе с ядром операционной системы, а удалить их нельзя ни с помощью файловых менеджеров, ни с помощью других антивирусов, – то есть фактически эти модули обладают теми же свойствами, что и вышеупомянутые руткиты и буткиты.

 

Приведу два примера из своей практики.

После запуска сетевого антивируса Dr.Web CureNet! антивирус Panda обнаруживает укоренившийся в системе модуль самозащиты Dr.Web (DrWeb Protection for Windows; 100КБ; \WINDOWS\system32\drivers\dwprot.sys) – «подозрительный» файл, действующий на уровне ядра ОС, – но не может его ни просканировать, ни удалить, о чем делается соответствующая запись в системном журнале событий

 

Другой пример. После использования антивирусной утилиты AVZ в папке \Windows\System32\drivers\ «навечно» остаются следующие файлы:

7367320.sys (304КБ; Klif Mini-Filter [fre_wlh_x86]);

73673201.sys (125КБ; Kaspersky Unified Driver);

73673202.sys (36,5КБ; Kaspersky Lab Boot Guard Driver).

 

С пристрастием «поковырявшись» в системе после удаления любого brand-name-антивируса, можно обнаружить подобные файлы.

Не зря же почти каждый антивирусный вендор выпускает специальную утилиту для чистки операционной системы после удаления своего антивируса, – но даже после использования этих фирменных утилит некоторые файлы удаленных антивирусов (а также записи в Реестре) остаются!..

 

 

Примечания

1. Руткит (англ. rootkit; от root – корень, основа; корневой, основной; корневой каталог + kit – сокращение от tool kit – набор инструментальных средств, инструментарий) – программа, выполняемая в виде драйвера ядра операционной системы (kernel mode driver). Руткит использует всевозможные технологии маскировки и сокрытия различных системных объектов (драйверов, процессов, сервисов, параметров Реестра, файлов, открытых портов и т.д.), активно используемых вредоносным программным обеспечением.

 

2. Буткит (англ. bootkit; от boot – загрузка, начальная загрузка системы + kit) – загрузочный руткит, заражающий загрузочный сектор диска ПК. Буткит загружается до запуска операционной системы (и антивируса), это позволяет ему контролировать системные функции и скрывать свое присутствие в системе.

 

В последнее время руткиты и буткиты всё шире применяются злоумышленниками для сокрытия присутствия на зараженных ПК вредоносного и шпионского программного обеспечения.

 

Валерий Сидоров

 

 

***

Статьи о ПК и PC

Вирусы vs. антивирусы

Как бороться с загрузочными вирусами?

Windows: Дело о загадочных файлах 7367320.sys, 73673201.sys и 73673202.sys

Как отключить загрузку файла dwprot.sys, или Оборотная сторона тестирования антивируса «Доктор Веб»

Безопасен ли «антивирусный» скрипт usb.wsf?

Windows: как предотвратить автозапуск вирусов, использующих файл autorun.inf?

Как уничтожить вирус Penetrator?

Почему она этого не любит, или Снова о Windows

Windows: как удалить файлы и папки с «неправильными» именами?

Windows: как работать с командной строкой?

Дело о таинственном проникновении Гали на панель Проводника Windows

 

 

 

 

 

Путеводитель по сайту


18+

© Сидоров В.В. 2014. All rights reserved.

При использовании материалов сайта «Слово» прошу указывать источник информации!