Вирусы и сетевые агенты-роботы учатся скрывать свои коды
Специалисты в области безопасности предупреждают: создатели компьютерных вирусов и программ дистанционного управления начинают пользоваться методами программ-невидимок типа “руткит” (rootkit). Цель ясна — скрыть несанкционированные процессы от средств контроля системы.

Новые версии Rbot — распространенной вредоносной программы дистанционного управления — вобрали в себя ряд функций хорошо известного руткита с открытым кодом Fu, что сделало их невидимыми для средств системного мониторинга. И это, по мнению директора антивирусных исследований хельсинкской корпорации F-Secure Микко Хиппонена, лишь последний пример того, как создатели опасных программ берут на вооружение опыт по сокрытию кодов руткитов.

Вариации Rbot появляются чуть ли не ежедневно, однако в последнее время, подчеркивает Хиппонен, в них встраивается версия программного драйвера Fu. Установив специальный фрагмент кода на инфицированной системе, Rbot получает возможность сделать свои процессы невидимыми как для диспетчера задач Windows, так и для других подобных средств мониторинга.

Однако Хиппонену известны и другие вредоносные программы, авторы которых проявили больше изобретательности. Функции Fu, скажем, появились в последней версии червя Myfip.H, благодаря чему тот получил возможность манипулировать данными в системном ядре, что, в свою очередь, позволило ему скрывать собственные процессы.

Исходный текст Fu — великолепный источник информации для авторов вредоносных программ. Сама эта разработка, правда, к классу “чистых” руткитов не относится, так как избежать обнаружения не пытается. Это значит, что вирусы и другие вредители с компонентами Fu все же могут обнаруживаться сканерами безопасности. Даже не отмечая опасного процесса-невидимки, они все же будут реагировать на код Fu.

Другие создатели вирусов взяли на вооружение методы “настоящих” руткитов. Пример тому — последняя версия червя Sober.P, использующая блокировку ввода/вывода. Подобный прием не мешает обнаруживать зараженные сообщения электронной почты, но делает Sober.P невидимым для антивирусного ПО.

Ситуация осложняется тем, что многие антивирусные продукты просто не выполняют так называемого сканирования доступа к памяти, хотя именно оно позволяет легко выявлять описанные выше уловки. Все дело в том, как считает вице-президент группы экстренного антивирусного реагирования фирмы McAffee Винсент Гулотто, что выполнение подобной операции сильно тормозит работу системы.

Несмотря на то что Rbot, Myfip.H и Sober.P выявляются довольно легко, Хиппонен видит в конвергенции руткитов, вирусов и агентов-роботов новую угрозу для компьютерных пользователей. Ведь во вредоносные программы могут быть интегрированы и более изощренные руткиты наподобие Hacker Defender, которые обнаружить гораздо сложнее.