Czy Kaspersky Lab instaluje rootkita?

16-01-2006, 21:23

Mark Russinovich, ekspert z dziedziny bezpieczeństwa IT odgrywający kluczową rolę w skandalu związanym z rootkitem Sony, zasugerował, że także Kaspersky Lab wykorzystuje w swoich produktach rootkita.

Komentarze Russinovicha pojawiły się w artykule opublikowanym przez PCWorld. Zarzuty dotyczą mechanizmu iStreams obecnego w oprogramowaniu Kaspersky Anti-Virus.

Russinovich przyznaje, że technologie maskujące wykorzystywane przez firmy Symantec i Kaspersky Lab nie są tak niebezpieczne, jak w przypadku rootkita Sony, którym zainteresowali się już twórcy wirusów. Uważa jednak, że wszystkie trzy firmy zastosowały praktyki, które są złe dla użytkowników i profesjonalistów z branży IT.

W wydanym dziś oświadczeniu Kaspersky Lab podkreśla, że mechanizm iStreams w żaden sposób nie może zostać wykorzystany przez cyberprzestępców i nazywanie tej technologii rootkitem jest błędem.

iStreams służy do zwiększenia wydajności skanowania antywirusowego. Mówiąc ogólnie, Kaspersky Anti-Virus korzysta z alternatywnych strumieni NTFS do przechowywania sum kontrolnych plików zapisanych w komputerze. Jeżeli suma kontrolna obiektów nie zmienia się od jednego skanowania do drugiego, wówczas wiadomo, że nie wymagają one kolejnego testu antywirusowego.

Alternatywne strumienie NTFS nie są widoczne "gołym okiem". Do ich przeglądania potrzebne są specjalne narzędzia. Po uaktywnieniu Kaspersky Anti-Virus ukrywa swoje strumienie, ponieważ mają one wyłącznie wewnętrzne zastosowanie. To, że nie można ich zobaczyć, nie oznacza, że są one szkodliwe - podkreśla Eugene Kaspersky, twórca programu Kaspersky Anti-Virus i szef laboratorium antywirusowego.

Kiedy Kaspersky Anti-Virus jest aktywny, jego strumienie są ukryte i żadne procesy (włączając systemowe) nie mogą uzyskać do nich dostępu. Po wyłączeniu produktu jego strumienie stają się widoczne dla specjalnych narzędzi (wykorzystywanych standardowo do pracy ze strumieniami NTFS).

Jeżeli strumień zostanie zastąpiony innymi, potencjalnie szkodliwymi danymi lub kodem (przykładowo po uruchomieniu komputera w trybie awaryjnym), podczas kolejnego uruchamiania systemu Kaspersky Anti-Virus odczyta ten strumień i nie rozpozna jego formatu. Program rozpocznie odbudowywanie bazy sum kontrolnych, niszcząc tym samym obcy kod oraz dane, tłumaczą eksperci z Kaspersky Lab.

Jedyną wadą technologii iStreams jest zwiększenie czasu potrzebnego na ponowne zainstalowanie produktu, gdyż dane muszą zostać usunięte ze strumieni. Ze względu na to zwiększenie czasu reinstalacji, i z żadnych innych powodów, kolejna wersja naszego produktu będzie wykorzystywać inną technologię do osiągnięcia tych samych korzyści - twierdzi Eugene Kaspersky.

Źródło: Kaspersky Lab
Przepisy na coś słodkiego z kremem Nutella
Tematy pokrewne:  

tag Symantectag Sonytag Russinovich
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031