Vista UAC ujawnia rootkity
26 maja 2008 14:00
Józef Muszyński, IDG News Service
Mechanizm kontroli kont (UAC) zawiera cechę, która odróżnia go od wszystkich innych programów zabezpieczających Windows - może wykrywać rootkity przed ich zainstalowaniem.
Taki wniosek można wyciągnąć z wyników testów skuteczności programów antywirusowych w zakresie wykrywania rootkitów, przeprowadzonych przez AV-Test.org i opublikowanych w dwóch niemieckich czasopismach komputerowych.
Wyniki nie były zbyt pomyślne dla produktów zorientowanych na Windows XP czy Vista. Z trzydziestu rootkitów "przepuszczonych" przez skanery antymalware dla XP, żaden z siedmiu testowanych zestawów antywirusowych nie zidentyfikował wszystkich. To samo dotyczy sześciu skanerów online. Jedynie cztery z 14 specjalistycznych narzędzi do zwalczania roootkitów osiągnęło najwyższą punktację.
Najlepsze wyniki osiągnął Avira AntiVir Premium Security Suite wykrywając 29 rootkitów, podczas gdy Norton zaledwie 18. Narzędzia specjalizowane do walki z rootkitami spisały się lepiej - AVG Anti-Rootkit Free, GMER, Rootkit Unhooker i Trend Micro Rootkit Buster wykryły wszystkie rootkity. Punkty za usuwanie natomiast były niejednolite - w krańcowym przypadku nie usunięto żadnego wykrytego rootkita.
Wyniki dla Vista były trudniejsze do oceny, ponieważ tylko sześć rootkitów mogło pracować na tej platformie, ale w tym celu testujący musieli wyłączyć UAC. UAC sam ujawnił je wszystkie na wejściu.
Jedynie trzy z 17 narzędzi antywirusowych dla Vista zarówno wykryły jak i usunęły te rootkity - F-Secure Anti-Virus 2008, Panda Security Antivirus 2008 i Norton Antivirus 2008.
Po osiągnięciu peceta rootkit może spokojnie się w nim schować, ale wpierw musi się tam dostać. Dopóki użytkownik uważnie reaguje na prompty z systemu UAC, jak również komunikaty te nie są w jakiś sposób sfałszowane, rootkit ma niezwykle utrudnione zadanie, aby dostać się do peceta bez zwrócenia uwagi.
To, że UAC może powiadomić użytkownika, kiedy rootkit próbuje się zainstalować, samo w sobie nie jest niespodzianką, ponieważ Vista jest podobno zaprojektowany od podstaw do przechwytywania wszystkich żądań aplikacji.
Celem rootkita jest znalezienie obejścia systemu operacyjnego. Z chwilą zainstalowania, może on wykonać dowolną akcję - np. załadowania innego kodu złośliwego z pozycji programu uprzywilejowanego. W testach użyto też trzech próbek rootkitów, które były legalnymi programami, zaprojektowanymi w celu zapobiegania nielegalnemu kopiowaniu nośników (najbardziej znany to rootkit Sony XCP/First4Internet).
Przy wielu słowach krytyki pod adresem bezpieczeństwa Vista, jedno osiągniecie wydaje się być bezsporne: UAC jest efektywnym narzędziem, które może być użyte do powstrzymania automatycznego zainfekowania rootkitem.
Komentarze
Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- ocena:
brak oceny
- IP: 83.145.176.57
- 26-05-2008, 14:28
Niestety UAC jest zaprojektowany tak kiepsko i pyta uzytkownika o takie bzdury, ze w 99% przypadkow uzytkownik z przyzwyczajenia i tak zezwoli na uruchminie zlosliwego kodu. Niech mi ktos wyjasni poco np UAC "interesuje" sie tym ze otwieram CMD.
- ocena:
brak oceny
- IP: 85.89.164.218
- 26-05-2008, 14:32
Wyobraź sobie, że rootkit odpala w tle cmd i z jego poziomu kasuje Ci pliki, czy też uruchamia też inne świństwa. Kapujesz teraz?
odpowiada...
wydrukuj
wyślij do znajomego