На этой неделе, на конференции по информационной безопасности RSA Security 2005 представители Microsoft, Майк Дансеглио (Mike Danseglio) и Курт Диллард (Kurt Dillard) из Security Solutions Group предупредили о новой опасности для пользователей Windows.
Исходит она от нового поколения программ, установленных на уровне ядра ОС, которые используют хакеры для мониторинга системы пользователя (т.н. "kernel rootkits"). По мнению представителей MS, их практически невозможно обнаружить современными средствами защиты.
Эти программы потенциально могут быть использованы для создания нового поколения программ-шпионов (spyware) и "червей", утверждают эксперты.
Программы для удаленного мониторинга системы существуют уже давно, последнее поколение таких приложений, созданных злоумышленниками, носят названия "Hacker Defender", "FU", "Vanquish" и др. Хакеры используют их для контроля системы, проведения атаки или передачи информации с пораженного компьютера. Как правило, эти приложения устанавливаются на ПК пользователя без его ведома (при помощи вируса или хакерской атаки).
Эти программы выполняются в "фоновом" режиме, а найти их можно в списке запущенных процессов пораженной системы, или при тщательном мониторинге исходящего трафика.
Новые разновидности rootkits в большинстве способны перехватывать запросы и системные вызовы, которые передаются ядру ОС и отфильтровывать те, что были сгенерированы самой вредоносной программой. В результате типичные признаки запущенного приложения (имя исполнимого файла, именованный процесс) невидимы для администраторов и антивирусных программ.
По словам Динсеглио, единственный надежный способ удалить такую программу – отформатировать жесткий диск и заново установить операционную систему.
Источник: http://www.computerworld.com/securitytopics/security/story/0,10801,99843,00.html
Подробнее об руткитах под Windows можно почитать в статье Windows под прицелом