Fortvilelse over rootkit-trojanere

Fortvilelsen til Microsoft og andre over rootkit-trojanere preger en stor konferanse om IT-sikkerhet.

Kombinasjonen av rootkit – i betydning programmeringsteknikk eller kode for å skjule prosesser og objekter i et IT-system – og ondsinnet kode er i ferd med å bli et alvorlig sikkerhetsproblem. I sin oppsummering av året 2005 pekte Kaspersky Lab på at det mot slutten av året ble avslørt 32 ondsinnede rootkit per måned, med en topp på 72 i november.

    Les også:

Et annet sikkerhetsselskap, Sana Security, meldte i slutten av mars om en særdeles vrien kombinasjon av rootkit og trojaner, som de hadde fanget opp og døpt «Rootkit.hearse» («rootkit likvogn»). Ifølge Business Week var det nærmest umulig for analytikeren å påvise at trojaneren lå i dvale på en infisert PC. Men det lot seg lett påvise at den våknet straks det ble tastet inn et passord, og at påfølgende inntastinger ble sendt til et nettsted i Russland. For å unngå å bli oppdaget brukte trojaneren en annen teknikk enn vanlig registrering av tastetrykk.

Selskapet har publisert en åtte siders beskrivelse av fenomenet i denne rapporten: Sana Security has discovered a rootkit and Trojan that has been capturing personal information and sending it to a server.

I to presentasjoner på den pågående IT-sikkerhetskonferansen InfoSec World i Florida, tok Mike Danseglio fra avdelingen Security Solutions hos Microsoft opp tråden med kombinerte rootkit, trojanere og spionvare.

Han advarte at det vil bli så vanskelig å renske opp etter denne formen for ondsinnet kode, at bedrifter må forberede rutiner der man raskt kan slette PC-er for alle data og reinstallere all systemvare og alle applikasjoner fra grunnen av. De må også satse langt mer på forebyggende tiltak og skolering av ansatte.

Danseglio understreket at antivirusleverandørene er blitt langt flinkere til å avdekke utillatelig oppførsel fra programvare, men at tilsvarende sprang i datakompetanse fra virusmakernes side gjør at man fortsatt må regne med at opprenskning uten full reinstallasjon etter avanserte rootkit-trojanere blir tilnærmet umulig i overskuelig framtid.

– Vi har sett selvlegende slemkode som faktisk sanser at du prøver å slette den. Du fjerner filen, og neste gang du undersøker mappen, er den der igjen. Den helt enkelt reinstallerer seg selv, sa Danseglio ifølge News.com.

Som mange andre sikkerhetseksperter understreker Danseglio at ondsinnet programvare i dag er et redskap for kriminell berikelse, og at det følgelig utvikler seg raskere og mer allsidig enn noen gang før. Samtidig øker tallet på angrep eksponentielt. Microsoft, et av de største målene, opplever 2000 inntrengingsforsøk hver time.

Det finnes mange gratis verktøy som kan brukes til å avdekke og rense opp for rootkit, selv om de ikke er perfekte.

Danseglio anbefalte Spybot Search & Destroy, RootkitRevealer og Microsofts egen Windows Defender. Microsoft har lagt ut en egen nettside om rootkit: Strider GhostBuster Rootkit Detection.

RootkitRevealer er laget av Mark Russinovich i selskapet Sysinternals. Det var Russinovich som i sin tid avdekket rootkitet i Sonys DRM-løsning.

Det er ikke klart i hvilken utstrekning disse verktøyene beskytter mot rootkit som programvarebransjen selv har forsynt brukerne med. Blant annet Symantec har fått kritikk rootkit-liknende funksjonalitet i programpakken Norton System Works. Denne funksjonaliteten er siden fjernet fra den siste utgaven av pakken.

Til toppen