Czy Kaspersky Lab instaluje rootkita?
Anna Wasilewska-Śpioch 16-01-2006, 21:23
Mark Russinovich, ekspert z dziedziny bezpieczeństwa IT odgrywający kluczową rolę w skandalu związanym z rootkitem Sony, zasugerował, że także Kaspersky Lab wykorzystuje w swoich produktach rootkita.
Komentarze Russinovicha pojawiły się w artykule opublikowanym przez PCWorld. Zarzuty dotyczą mechanizmu iStreams obecnego w oprogramowaniu Kaspersky Anti-Virus.
Russinovich przyznaje, że technologie maskujące wykorzystywane przez firmy Symantec i Kaspersky Lab nie są tak niebezpieczne, jak w przypadku rootkita Sony, którym zainteresowali się już twórcy wirusów. Uważa jednak, że wszystkie trzy firmy zastosowały praktyki, które są złe dla użytkowników i profesjonalistów z branży IT.
W wydanym dziś oświadczeniu Kaspersky Lab podkreśla, że mechanizm iStreams w żaden sposób nie może zostać wykorzystany przez cyberprzestępców i nazywanie tej technologii rootkitem jest błędem.
iStreams służy do zwiększenia wydajności skanowania antywirusowego. Mówiąc ogólnie, Kaspersky Anti-Virus korzysta z alternatywnych strumieni NTFS do przechowywania sum kontrolnych plików zapisanych w komputerze. Jeżeli suma kontrolna obiektów nie zmienia się od jednego skanowania do drugiego, wówczas wiadomo, że nie wymagają one kolejnego testu antywirusowego.
Alternatywne strumienie NTFS nie są widoczne "gołym okiem". Do ich przeglądania potrzebne są specjalne narzędzia. Po uaktywnieniu Kaspersky Anti-Virus ukrywa swoje strumienie, ponieważ mają one wyłącznie wewnętrzne zastosowanie. To, że nie można ich zobaczyć, nie oznacza, że są one szkodliwe - podkreśla Eugene Kaspersky, twórca programu Kaspersky Anti-Virus i szef laboratorium antywirusowego.
Kiedy Kaspersky Anti-Virus jest aktywny, jego strumienie są ukryte i żadne procesy (włączając systemowe) nie mogą uzyskać do nich dostępu. Po wyłączeniu produktu jego strumienie stają się widoczne dla specjalnych narzędzi (wykorzystywanych standardowo do pracy ze strumieniami NTFS).
Jeżeli strumień zostanie zastąpiony innymi, potencjalnie szkodliwymi danymi lub kodem (przykładowo po uruchomieniu komputera w trybie awaryjnym), podczas kolejnego uruchamiania systemu Kaspersky Anti-Virus odczyta ten strumień i nie rozpozna jego formatu. Program rozpocznie odbudowywanie bazy sum kontrolnych, niszcząc tym samym obcy kod oraz dane, tłumaczą eksperci z Kaspersky Lab.
Jedyną wadą technologii iStreams jest zwiększenie czasu potrzebnego na ponowne zainstalowanie produktu, gdyż dane muszą zostać usunięte ze strumieni. Ze względu na to zwiększenie czasu reinstalacji, i z żadnych innych powodów, kolejna wersja naszego produktu będzie wykorzystywać inną technologię do osiągnięcia tych samych korzyści - twierdzi Eugene Kaspersky.
Russinovich przyznaje, że technologie maskujące wykorzystywane przez firmy Symantec i Kaspersky Lab nie są tak niebezpieczne, jak w przypadku rootkita Sony, którym zainteresowali się już twórcy wirusów. Uważa jednak, że wszystkie trzy firmy zastosowały praktyki, które są złe dla użytkowników i profesjonalistów z branży IT.
W wydanym dziś oświadczeniu Kaspersky Lab podkreśla, że mechanizm iStreams w żaden sposób nie może zostać wykorzystany przez cyberprzestępców i nazywanie tej technologii rootkitem jest błędem.
iStreams służy do zwiększenia wydajności skanowania antywirusowego. Mówiąc ogólnie, Kaspersky Anti-Virus korzysta z alternatywnych strumieni NTFS do przechowywania sum kontrolnych plików zapisanych w komputerze. Jeżeli suma kontrolna obiektów nie zmienia się od jednego skanowania do drugiego, wówczas wiadomo, że nie wymagają one kolejnego testu antywirusowego.
Alternatywne strumienie NTFS nie są widoczne "gołym okiem". Do ich przeglądania potrzebne są specjalne narzędzia. Po uaktywnieniu Kaspersky Anti-Virus ukrywa swoje strumienie, ponieważ mają one wyłącznie wewnętrzne zastosowanie. To, że nie można ich zobaczyć, nie oznacza, że są one szkodliwe - podkreśla Eugene Kaspersky, twórca programu Kaspersky Anti-Virus i szef laboratorium antywirusowego.
Kiedy Kaspersky Anti-Virus jest aktywny, jego strumienie są ukryte i żadne procesy (włączając systemowe) nie mogą uzyskać do nich dostępu. Po wyłączeniu produktu jego strumienie stają się widoczne dla specjalnych narzędzi (wykorzystywanych standardowo do pracy ze strumieniami NTFS).
Jeżeli strumień zostanie zastąpiony innymi, potencjalnie szkodliwymi danymi lub kodem (przykładowo po uruchomieniu komputera w trybie awaryjnym), podczas kolejnego uruchamiania systemu Kaspersky Anti-Virus odczyta ten strumień i nie rozpozna jego formatu. Program rozpocznie odbudowywanie bazy sum kontrolnych, niszcząc tym samym obcy kod oraz dane, tłumaczą eksperci z Kaspersky Lab.
Jedyną wadą technologii iStreams jest zwiększenie czasu potrzebnego na ponowne zainstalowanie produktu, gdyż dane muszą zostać usunięte ze strumieni. Ze względu na to zwiększenie czasu reinstalacji, i z żadnych innych powodów, kolejna wersja naszego produktu będzie wykorzystywać inną technologię do osiągnięcia tych samych korzyści - twierdzi Eugene Kaspersky.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Więcej w tym temacie:
- Twórcy i aktorzy The Last of Us rozmawiają o wyzwaniu, jakim była ekranizacja kultowej gry
- Milion dolarów rocznie dla cyberprzestępców dzięki oprogramowaniu ransomware
- Fotograf z Żyrardowa uhonorowany nagrodami w prestiżowym konkursie
- Nowoczesne gramofony – odkrywaj uroki dźwięków z czarnych płyt na nowo!
« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Polecamy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.