РЕКЛАМА
ИНФОРМАЦИЯ
ДРУЗЬЯ THG

Exler : авторский проект
iXBT.com : коллеги
BenchmarkHQ
G-Class.ru : Гелики
Avto.ru : автомобили
КомпьютерПресс
Radeon.ru : поддержка
PCNews : новости IT
NV World : Мир nVidia
iPhoneRoot : новости
Kraftway : серверы
SLY : компьютеры

Rambler's Top100 Рейтинг@Mail.ru

НОВОСТИ

RSS

«Лаборатория Касперского»: руткиты в легальных продуктах - проблемы и опасности

01 декабря 2011, 00:38

Компания «Лаборатория Касперского» представила результаты исследования применения технологий «руткит» в легальных программных продуктах. Так, по словам антивирусного эксперта компании Вячеслава Русакова, в случае неаккуратной реализации продукта, злоумышленники могут воспользоваться этими методами в своих целях - для сокрытия модификаций, произведенных в системе вредоносной программой.

Лаборатория Касперского

В программе RestoreIT, как и во многих других, реализован механизм модификации MBR

По мнению эксперта «Лаборатории Касперского», использование руткит-технологий сопряжено с большой ответственностью. Небрежно реализованные алгоритмы могут привести к самым печальным последствиям, в том числе к компрометации системы защиты операционной системы. Наихудшим вариантом является использование руткит-технологий в легальном ПО для сокрытия каких-либо объектов в системе.

В качестве одного из известных примеров легальных продуктов, в которых использовались руткит-технологии, может служить система защиты от копирования аудио-CD компании Sony. В 2005 году разразился громкий скандал: выяснилось, что вредоносные программы могли использовать данную систему защиты для сокрытия собственных компонентов.

Автором исследования с помощью облачного сервиса Kaspersky Security Network было обнаружено несколько легальных программ, которые используют руткит-технологии. Cервис KSN позволяет собирать статистику о различных аномалиях на компьютерах пользователей - таких как скрытые объекты (секторы диска, файлы, ветки реестра и другие).

В ходе исследования были проанализированы четыре таких программы - COMODO Time Machine, Norton GoBack, RestoreIT и PC Back Pro/Rollback Rx. Все продукты являются утилитами послеаварийного восстановления системы, во всех реализована возможность запуска специальной консоли восстановления до загрузки операционной системы. Для реализации этой возможности во всех случаях использован механизм модификации MBR (master boot record).

По итогам тестирования во всех программах была обнаружена подмена MBR при чтении, которая реализуется фильтр-драйвером дискового стека. В случае чтения MBR выдается содержимое MBR до модификации - то есть поддельное содержимое. При этом запись в MBR либо запрещена, либо фильтр-драйвер перенаправляет запрос, и запись происходит в другое место, а модифицированный MBR остается нетронутым.

Применяя данное ПО, пользователь может оказаться в ситуации, когда у него не будет возможности узнать о заражении MBR, и вредоносные программы на компьютере будут скрываться с помощью легальной утилиты. Также при возникновении серьезных проблем ПО для отката системы может не сработать, а использование инструментов редактирования разделов привести к потере работоспособности системы.

Несмотря на то, что механизм модификации MBR вполне легален, по мнению эксперта «Лаборатории Касперского», при его реализации в легальных продуктах лучше полностью отказаться от руткит-технологий и использовать другие алгоритмы.

С полной версией статьи «Легальные буткиты» можно ознакомиться на сайте компании.

Ранее редакция THG.ru заметила, что большинство из нас возлагает основную часть работы по защите компьютера от вредоносных воздействий на антивирусные программы. Редакция THG.ru протестировала работу различных антивирусов с тем, чтобы выяснить, как они воздействуют на производительность системы. В тестировании приняли участие продукты AVG Free, GFI Vipre Antivirus, Kaspersky Internet Security 2012 , McAfee Internet Security, Microsoft Security Essentials и Norton Internet Security от Symantec. Результат оказался довольно неожиданным: тестирование буквальным образом провалилось... Почему? Подробнее об этом читайте в статье «Как влияют антивирусы на производительность».

Популярные статьи:

  • Как влияют антивирусы на производительность
  • Три поколения Intel vPro
  • Kaspersky Internet Security 2012 : обзор новинки от Лаборатории Касперского
  • Обзор Windows 8 : обновление внешнего облика операционной системы
  • Интервью с Джоанной Рутковской : Qubes - OC, направленная на безопасность
  • следующая новость
    Cisco Expo 2011 - «Создаем инновации вместе»

    предыдущая новость
    LG Optimus Link Dual SIM: Android-смартфон с двумя SIM-картами

     
    Новости

    Комментарии? Поправки? Дополнения? Ваши новости? news@thg.ru




    Свежие статьи
    RSS
    Intel NUC 8 Mainstream-G Mini PC: сравнительный обзор и тест двух мини-ПК для офиса и дома Лучшие бюджетные ноутбуки: текущий анализ рынка Seagate IronWolf Pro 16TB: обзор и тест 16-Тбайт жёсткого диска для NAS Лучший SSD: текущий анализ рынка Главные новости за неделю
    Сравнительный обзор двух Intel NUC 8 Mainstream-G Mini PC Лучшие бюджетные ноутбуки Обзор и тест Seagate IronWolf Pro 16TB Лучший SSD Главные новости за неделю
    РЕКЛАМА
    РЕКОМЕНДУЕМ ПРОЧЕСТЬ!
    ПОСЛЕДНИЕ НОВОСТИ

    Xiaomi испытывает проблемы с поставками новых маршрутизаторов AX3600

    Huawei P40 и P40 Pro прошли сертификацию в Китае

    Анонс SilentiumPC Astrum AT6V: корпуса для геймеров с привлекательным дизайном

    Анонс JBL TUNE 220TWS: недорогой конкурент Apple AirPods от Harman

    8-ядерный Intel Core i7-10700KF с частотой до 5,3 ГГц немного уступает AMD Ryzen 7 3800X

    Intel работает над полным шифрование памяти в новых процессорах


    27 февраля, 2020

    Анонс HTC Wildfire R70: средний смартфон с стандартным набором функций

    Стали известны ключевые характеристики OPPO Find X2

    Анонс CORSAIR ONE PRO i200: мощный ПК в компактном форм-факторе

    AR-гарнитура сможет разблокировать остальные устройства Apple

    Анонс Philips 243B1: ЖК-монитор с детектором присутствия и режимом LowBlue

    Производители смартфонов собираются применять нитрид галлия в зарядных устройствах

    Xiaomi приобрела доли в двух производителях чипсетов

    MediaTek представила чипсет Helio P95 с более производительным ИИ-движком

    Анонс Huawei P40 Lite: бюджетный флагман без сервисов Google


    26 февраля, 2020

    Стандарт Wi-Fi 802.11 ay будет применяться в AR-очках Apple

    ССЫЛКИ