Несмотря на то, что эксперты уже не раз обвиняли некоторых производителей антивирусного ПО в использовании хакерских руткит-технологий, последние не собираются отказываться от них. Чаще других критике подвергаются "Лаборатория Касперского" и Symantec.

Термин руткит (rootkit) исторически пришёл из мира UNIX, под ним понимается набор программных средств, которые хакер устанавливает на взломанном компьютере, чтобы закрепиться во взломанной системе и скрыть следы своей деятельности. Этот набор, как правило, включает в себя разнообразные утилиты для заметания следов и вторжения в систему. По мнению Марка Руссиновича, главного архитектора программного обеспечения Winternals Softwear, в антивирусных продуктах "Лаборатории Касперского" используются руткит-технологии, непригодные с точки зрения экспертов по компьютерной безопасности. Речь идет о продуктах, использующих NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера.

Однако в "Лаборатории Касперского" не согласны с обвинениями: "Думаю, нам следует четко различать вредоносные руткит-технологии и технологии сокрытия, - комментирует Евгений Касперский. - В наших продуктах действительно используется технология iStreams, о которой и говорит Марк Руссинович, но мы не считаем эту технологию руткитом и не верим, что ей могут воспользоваться хакеры или вредоносные программы. Ведь если "Антивирус Касперского" запущен, то потоки скрыты, и ни один другой процесс, включая системные, не может получить к ним доступа. Наши продукты используют технологию iStreams для увеличения производительности. Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков".

Не использует руткит-технологии и другой российский производитель антивирусного ПО – "Доктор Веб". Как прокомментировали CNews в компании, "у нас нет целей скрывать наши файлы или процессы". "Вообще говоря, такая технология может быть применена и антивирусными продуктами с целью более эффективного обнаружения и лечения инфекции, особенно так называемых руткитов и stealth вирусов, - отмечают разработчики из "Доктор Веб". – В нашей компании ведутся исследования по применению подобных технологий, но они не применяются в наших коммерческих продуктах и носят скорее научный характер".

Аналогичные упреки Марка Руссиновича были высказаны и в адрес еще одного производителя защитных программных комплексов - компании Symantec, регулярно рассказывающей в своих блогах о новых хакерских руткит-приемах. Symantec использует методы маскировки для сокрытия каталога, в котором хранятся резервные копии файлов. В принципе, подобные приемы маскировки дают возможность хакерам скрыть свои вредоносные программы в системе. Однако в Symantec уверяют, что это сделано для того, чтобы предохранить файлы от случайного удаления пользователем, и уже реализована функция отключения маскировки.

Интересные материалы:

• "Лаборатория Касперского": Mytob удерживает "пальму первенства"
• Hard Drive Inspector 1.99 - состояние жесткого диска
• 19 октября откроется конференция "Корпоративные системы"
• Пентагон усовершенствовал видеоинтерфейс авианаводчиков
• "Открытые Технологии" модернизировали почтовую систему в КБ "Кольцо Урала"

все новости