Rootkit-vaara kasvamassa
35
Pandan viruslaboratorio Pandalabs kertoo tunnistaneensa lukuisia troijalaisia, jotka sisältävät rootkitejä. Havaituissa tapauksissa rootkitejä käytetään aivan uudella tavalla, joka on vielä edeltäjiäänkin hankalampi havaita. Kaiken lisäksi nämä rootkitit eivät piittaa siitä, mitä käyttöjärjestelmää uhrikoneessa käytetään.
Kyseessä ovat Mbrtool-perheeseen kuuluvat haittaohjelmat. Nämä rootkitit on suunniteltu korvaamaan kiintolevyn pääkäynnistyslohko omallaan. Pandalabsin tutkimusjohtaja Luis Corrons huomauttaa, että näin vaara uhkaa myös Linux-käyttäjiä: "Niiden toiminta on riippumatonta siitä, mikä käyttöjärjestelmä koneelle on asennettuna."
Rootkitit aloittavat tihutyönsä jo ennen käyttöjärjestelmän käynnistymistä. Kun levyn pääkäynnistyslohko luetaan, rootkit tekee kopion olemassa olevasta pääkäynnistyslohkosta ja muokkaa sitä haitallisiin tarkoitusperiin sopivaksi. Jos pääkäynnistyslohkoon yritetään päästä käsiksi, rootkit ohjaa edelleen alkuperäiseen versioon, jolloin käyttäjä tai sovellukset eivät huomaa mitään epäilyttävää.
"Tämä hyökkäystapa aiheuttaa sen, että rootkitien ja niiden piilottamien haitallisten koodien tunnistaminen on lähes mahdotonta sen jälkeen kun ne ovat asentuneet tietokoneelle. Ainoa tapa puolustautua on tunnistaa rootkitit ennen kuin ne pääsevät koneelle", Corrons sanoo.
Ennakoivat suojaustekniikat, jotka voivat tunnistaa myös tuntemattomat uhat, ovat siis arvossaan näitä vaaroja torjuttaessa. Vaikka uhat ovat uusia, niitä voi pienentää vanhoillakin konsteilla. Panda muistuttaa taas kerran, että tuntemattomat liitetiedostot on kerta kaikkiaan paras jättää avaamatta.
Rootkitin saastuttama kone voidaan elvyttää cd-käynnistyksellä, jonka jälkeen kiintolevyn pääkäynnistyslohko palautetaan ennalleen esimerkiksi Windowsin Recovery Consolen kautta.
