31.08.2007, 12:44

Kas uus Sony rootkit?

Martin Tõnusoo

Sony MicroVault USM-F

Pole veel kahte aastatki möödunud Sony BMG rootkit -i skandaalist, kui nad saavad uuesti sarnase tembuga hakkama. Kas ootavad ees uued kohtuprotsessid?

Augusti lõpus leidis Soome F-Secure rootkite avastav utiliit BlackLight Sony MicroVault USM-F integreeritud sõrmejäljelugejaga mälupulga draiverite paigaldamisel peidetud kausta “C:\WINDOWS\” all. Teades selle peidetud kausta nime ning sinna uusi faile juurde lisades, on võimalik neid Windowsi API eest peita! Mitmed AV tarkvarad ei suuda sellest kaustast faile leida ning see teadmine muudab selle koha soodsaks pesitsuspaigaks erinevat tüüpi pahavarale. Loomulikult oleks samamoodi rumal kui sõrmejäljega autentimisel loodud funktsioonid oleksit .txt failina kasutaja töölaual, kuid vale on kasutada failide peitmise tehnikana rootkiti laadset käitumist lubades seda viirustel ära kasutada!

Kuidas rootkit töötab. Tegu on arvutiprogrammiga, mis integreerub nii sügavale süsteemi, et oskab ennast varjata kõrgemal tasemel(näiteks antiviirus) töötava tarkvara eest modifitseerides selleks süsteemidraivereid või suisa kernelit. Hea selgitav näide oleks selline, kus antiviirustarkvara teeb regulaarset kontrolli ja küsib operatsioonisüsteemi käest omale faile kontrollida. Nüüd kui järjekord jõuab kätte selle kaustani, kus asetsevad need failid, mis kuuluvad rootkitile või mida viimane kaitsta tahab, ütleb operatsioonisüsteem antiviirusele, et see on tühi kaust ning antiviirus küsib sellepeale omale järgmise kausta kontrollimiseks. Samamoodi saab rootkit ennast eemaldada kerneli aktiivsete süsteemiprotsesside nimistust ning kuna vastavad Windowsi poolsed API’d tuginevad sellel nimekirjal ning nendel API’del omakorda sellised programmid nagu teada-tuntud Task Manager või Sysinternals’i ProcessExplorer, siis pole neid kasutaja jaoks näha. Olgu veel mainitud, et olemas on erinevatesse perekondadesse kuuluvaid rootkite, mis ka käituvad erinevalt- näiteks sellised, mis püsivad vaid operatiivmälus ja hukkuvad peale arvuti taaskäivitamist. Nagu arvata võib, on rootkiti avastamine kaunis keerukas- üheks võimaluseks on Windowsi API ja failisüsteemi käitumise võrdlemine päringute korral. Samuti on võimalik kasutada näiteks MD5 hashi võrdlust, kuid siis peab olema kindel, et mingi muu tegur seda faili peale kahtlustatava rootkiti muutnud ei ole.

Tulles tagasi 2005 aasta Sony BMG Music Entertainment rootkit skandaali juurde, siis lisas nimetatud suurfirma oma muusikaplaatidele rootkitina käituvat tarkvara, mis installeerus kasutaja arvutisse kui viimane tahtis kuulata muusikat arvutist. Osa sellest rootkit tarkvarast ei olnud mainutud EULA’s ning ta installeerus ennem seda kui üldse mingi EULA’ga tutvuda sai ja ka eemaldamise võimalus tal puudus. Lisaks sellisele lubamatule omavolitsemisele oli see rootkit tarkvara küllalki halvasti kirjutatud, põhjustades sedasi BSoD ning avades mitmeid turvaauke. Üks populaarsemaid, mida ära kasutati, oli see, et lisades failinime algusesse $sys$ peitis Sony rootkit sellised failid OS eest ära. Skandaal päädis mitmete tõsiste kohtuprotsessidega ning Sony kutsus nakatatud CD’d tagasi.

Kommenteeri Loe kommentaare