Hlavní navigace

Rootkity aneb po stopách kořenů zla

 Autor: 29
Ondřej Bitto 30. 11. 2005

Téma rootkitů v poslední době nevídaně ožilo především díky svéráznému postupu společnosti Sony při DRM (Digital Rights Management) ochraně. Jak se kauza vyvíjela, co to vlastně rootkity jsou a jaká rizika obecně přinášejí? Kde se v systému skrývají? Stačí k jejich objevení či odstranění obyčejný antivirový program?

První jiskrou současné plamenné diskuse na téma Sony rootkitu byl bezesporu blog Marka Russinoviche s názvem Sony, Rootkits and Digital Rights Management Gone Too Far. Právě zde totiž spoluautor řady oblíbených systémových utilit Sysinternals detailně popsal odhalení rootkitu – podařilo se mu to během testování poslední verze svého RootkitRevealeru.

Mark s pomocí RootkitRevealeru detekoval skrytý adresář, soubory i položky registru, které začínaly řetězcem $sys$. Po podrobnějším zkoumání dospěl k závěru, že utajení ve Windows API způsobuje ovladač Aries.sys, jenž se spouští automaticky jako služba. Během přehrávání CD proces $sys$DRMServer.exe naprosto zbytečně vytěžoval procesor, a to i po zavření přehrávače, kdy v pravidelných dvouvteřinových intervalech zjišťoval informace o běžících procesech.

Rootkity

Odhalení rootkitu Sony Markem Russinovichem (zdroj)

Zveřejněním těchto a několika dalších zkušeností Mark odstartoval celý případ Sony rootkitu. Podrobné informace o věcech následujících můžete kromě výše odkazovaného blogu nalézt například v článcích:

Není bez zajímavosti, že nedlouho po zveřejnění informací o rootkitu Sony se objevil první červ, který jej zneužíval (viz např. informace na stránkách společnosti F-Secure). Nese název Breplibot.C a po své aktivaci se nejprve zkopíruje do systémového adresáře Windows jako soubor $sys$xp.exe. Díky předponě $sys$ jej rootkit od Sony automaticky skryje a červ se zapíše do spouštěcích oblastí registru systému – název klíče samozřejmě opět začíná na  $sys$

Červ se dále pokouší skrze port 8080 spojit s jedním z IRC serverů 68.101.14.76, 24.210.44.45, 67.171.67.190, 35.10.203.93 a 152.7.24.186. Po úspěšném přihlášení do heslem chráněného kanálu #cell může útočník stahovat, spouštět i mazat soubory infikovaných počítačů.

Rootkity se ve svém obecném pojetí snaží zamaskovat svou přítomnost v systému, a to tak, aby byly jen těžko odhalitelnými pro všechny antivirové i antispywarové aplikace. Rootkit může nějakou záškodnickou činnost vykonávat buď sám, nebo funguje „pouze“ jako backdoor pro další akce útočníka, resp. poskytuje vhodné prostředí ke spuštění jiného malwaru.

Rootkity lze rozdělit do dvou základních kategorií, a sice „user-mode“ a „kernel-mode“ varianty. Není těžké uhodnout, že jejich označení vychází z toho, zda běží v uživatelském režimu (ring 3), nebo režimu jádra (ring 0). Rootkity například zachytávají systémové požadavky a uživateli je prezentují v záměrně pozměněné podobě. Důsledkem toho může být skrývání procesů, ovladačů, souborů apod. Pokud tedy uživatel požádá například o výpis adresáře, daný rootkit filtruje výsledek a vybrané soubory nezobrazí. „User-mode“ rootkity běží jako samostatná aplikace, případně mohou být do některého existujícího programu vloženy. Mezi nejznámější představitele „user-mode“ rootkitů patří například Hacker Defender, z jehož domovských stránek je možné navíc stáhnout zajímavé video ukazující skrývání v praxi.

Hůře odstranitelné „kernel-mode“ rootkity nezasahují pouze do některých aplikačních souborů, nýbrž modifikují přímo části operačního systému. Proto mohou způsobit výraznou nestabilitu a časté, na první pohled bezdůvodné pády systému. Mezi nejznámější zástupce „kernel-mode“ rootkitů patří například FU.

Některé rootkity mohou být zachyceny různými antivirovými programy, nicméně detekce a odstranění těch sofistikovanějších (nebo doposud neznámých) je doménou specializovaných aplikací. Již v úvodu článku byl zmíněn RootkitRevealer od Sysinternals, s jehož pomocí Mark Russinovich odhalil nečistou hru společnosti Sony. RootkitRevealer je k dispozici zdarma ve freeware verzi, ostatně jako všechny ostatní utility Sysinternals. Za vyzkoušení dále stojí beta-verze aplikace F-Secure BlackLight či RootKit Hook Analyzer.

Rootkit eliminator

Anketa

Používáte pravidelně některé systémové utility od Sysinternals?

Našli jste v článku chybu?

26. 4. 2006 9:36

laszlo.lugosy@volny.cz (neregistrovaný)
cusik, ten receiver mam jako "treti v rodine", klidovy sum a ruseni je opravdu vetsi, nez by v te kategorii bylo zahodno, nicmene Sony je komercni znacka, co nema nic spolecneho s kvalitou, tudiz plati tve PS. Jen bych ho doplnil, ze krom veci z vyse zminenych let mi bez problemu slouzi take komponenty od tesly ze sedmdesatych let - zesilovac, tuner, gramofon a cd tesla MC900 z roku 90. Jinak pouzivam pouze a jedine Technics, co od nich mam, je super, ovsem mohu posoudit take pouze do …

3. 12. 2005 16:48

krakonoš (neregistrovaný)
Specielně v televizorech spatlali do spínaných zdrojů jakýsi prapodivný hybrid tranzistoru, tyristoru a kdoví čeho ještě a zapouzdřili to do TO 3, takže to na první pohled vypadalo jako výkonový tranzistor. Problém byl v tom, že když to odešlo (např. následkem bouřky), tak se to nedalo ničím nahradit a originál se musel individuálně dovézt, protože jako ND se nedodával. Takže televizor se válel minimálně dva měsíce v opravně, načež se za opravu zaplatilo kolem 3 tisíc, což byla v osmdesátých let…
120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?