Fjerner rootkit fra Norton-programvare

Symantec har selv fjernet en rootkit-lignende funksjonalitet i selskapets Norton SystemWorks.

Ordet ”rootkit” kom på alles lepper da det viste seg at DRM-løsningen til en rekke Sony BMG musikkalbum tok i bruk løsninger som gjorde en filmappe og innholdet i den usynlig for resten av systemet. Faren med dette er at den usynlige mappen kan utnyttes av ondsinnede til å plante skadelig programvare uten at den vil kunne oppdages av sikkerhetsverktøy.

Nå har også sikkerhetsselskapet Symantec erkjent at selskapet har tatt i bruk en rootkit-lignende teknikk for å skjule en systemmappe i Windows. Dette er blitt gjort i forbindelse med Norton Protected Recycle Bin, som er en del av Norton SystemWorks. Den ekstra sikre søppelbøtten skal ha opprettet en mappe som kalles NProtect, som lagrer midlertidige kopier av filer som brukeren sletter, og som gir brukeren bedre muligheter til å gjenopprette filer som feilaktig er blitt slettet.

Men ved å skjule mappen for Windows FindFirst/FindNext API-er, skaper man også et potensielt skjulested for ondsinnet programvare.

Symantec forklarer i en artikkel hvorfor mappen opprinnelig ble gjort skjult, og at selskapet nå har revurdert situasjonen og publisert oppdateringer til Norton SystemWorks som gjør mappen synlig igjen.

I artikkelen takker Symantec for samarbeid med Mark Russinovich i Sysinternals, som også oppdaget rootkitet i Sonys DRM-løsning, og F-Secures Blacklight-team.

Et lite søk på nettet viser at oppdagelsen av denskjulte NProtect-mappen ikke akkurat er en nyhet. I denne artikkelen , som beskriver bruk av anti-rootkit-programvare, er nettopp NProtect-mappen et eksempel på hva i hvert fall F-Secures Blacklight Rootkit Detector er i stand til å finne. Artikkelen er fra mars i fjor.

Til toppen