Дух open source в среде хакеров приводит к рекордному числу новых руткитов в интернете

McAfee предупреждает, что дух open source в среде хакеров приводит к рекордному числу новых руткитов в интернете, так что в первом квартале 2006 года их было зарегистрировано почти столько же, сколько за весь 2005 год.

Руткиты, которые часто используются хакерами для того, чтобы скрыть вредоносное ПО, множатся и становятся все сложнее, утверждает секьюрити-фирма. В первом квартале их число, зарегистрированное McAfee Avert Labs, увеличилось на 700% по сравнению с аналогичным периодом предыдущего года. Лаборатория изучает «методы маскирования», к которым относится также технология сокрытия, встроенная в некоторые коммерческие программы, такие как средство защиты от копирования Sony BMG, и потенциально нежелательное ПО типа adware.

Хотя подобные методы сокрытия действий в компьютерах известны с 1986 года, за последние три года их число и сложность растут ускоренными темпами, говорится в отчете McAfee , опубликованном в понедельник. Только в первом квартале Avert Labs выявила свыше 827 методов маскирования, тогда как за весь 2005 год их было обнаружено 769.

«Эта тенденция эволюции вредоносного ПО приводит к созданию все более опасных программ, которые продолжают угрожать как предприятиям, так и потребителям, — говорится в заявлении старшего вице-президента McAfee по глобальным угрозам Стюарта Макклура (Stuart McClure).

По мнению McAfee, столь быстрый рост вызван тем, что хакеры практикуют разработку маскирующего кода «в среде open source». Коллективные веб-сайты и блоги наряду с двоичными исполняемыми кодами руткитов содержат тысячи строк кода для рекомпиляции и дальнейшего совершенствования технологии. В результате злоумышленникам ничего не стоит скрыть свои вредоносные файлы, процессы и ключи реестра, не обладая глубокими знаниями в области целевой операционной системы.

«Коллективная работа способствует не только распространению методов маскирования. Она ускоряет также разработку новых и более сложных технологий», — говорится в отчете. Один из способов измерения сложности программ состоит в подсчете числа компонентов.

В первом квартале в Avert Labs поступило 612 компонентов маскирования против 60 за тот же период прошлого года. По этому показателю цифры первого квартала также близки к статистике за весь 2005 год.

McAfee отмечает рост числа коммерческих программ, использующих методы маскирования для сокрытия кода. В число компаний, использующих такие методы, вошли Sony BMG, которая применяет их для сокрытия кода, ограничивающего копирование, и Symantec, которая позднее отказалась от их использования в своей программе настройки ПК Norton SystemWorks. Отчет не называет такую технологию маскирования руткитом, так как этот термин, по мнению авторов отчета, следует использовать только в отношении вредоносного ПО.

Microsoft Windows служит главной мишенью для вредоносных руткитов в силу своего широкого распространения, но McAfee отмечает, что привлекательной в этом плане ее делает также множество недокументированных интерфейсов прикладных программ (API).

Прогнозируя будущий рост числа руткитов, McAfee отмечает, что хотя на горизонте маячит выпуск Vista, затишье в сфере руткитов для Windows наступит не раньше, чем новая операционная система получит широкое распространение, как это было при выпуске Windows 95.

«Можно предсказать, что в ближайшие два-три года годовой прирост числа руткитов для существующей архитектуры Windows достигнет как минимум 650%», — говорится в отчете.