(Foto: Computerworld)

Lug rootkits ud af maskinen - del 2

Sådan sikrer du din computer mod den mest luskede form for malware.

20. maj 2010 kl. 11.48

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Vi rundede sidste gang af med at kigge på skjulte trusler. Det følger vi op på i dette nummer.

Moderne operativsystemer (også eksisterende versioner af Linux og Microsoft Windows) bruger et system med indlæsbare kernemoduler (LKM’er). Hvis en bestemt type hardware bliver fundet, når operativsystemet starter, indlæser kernen det specifikke modul, der kræves for at køre den.

Det holder den kørende kernes størrelse nede på et minimum, hvilket sparer ram, og det betyder, at man kan opgradere enkelte moduler uden at skulle rekompilere hele kernen.

På grund af de fordele, som LKM’er giver, er selv central (men potentielt valgfri) kernefunktionalitet blevet modulær.

Man kan imidlertid hævde, at det har gjort arbejdet nemmere for rootkitprogrammøren. Hvis han kan erstatte en LKM med sin egen udgave af kernemodulet, kan han få det til at gøre, som han vil.

En underrutine for et Windowskernemodul, der har til formål at returnere en liste over kørende processer, kan for eksempel bringes til at returnere alle andre end dem, der er forbundet med det kørende rootkit.

Afdækningsmetoder, der bygger på iagttagelse af usædvanlige systemprocesser med henblik på at afsløre malware, falder her igennem.

En anden metode til at afsløre rootkitaktivitet består i at iagttage systemfiler, hvis rettigheder uventet er blevet ændret. Hvis man undergraver det modul, der returnerer disse rettigheder, kan man narre antimalwareprogrammer.

Der sker i øjeblikket en fokusændring blandt rootkitudviklere fra Linux og Unix til Microsoft Windows. Windows-rootkits ændrer sig gradvis til snigende udgaver af andre former for malware. I dag kan de rumme keyloggere, der samler information for at sælge den til identitetstyve eller botnetklienter

Eftersom kernemoduler og anden kode kan bringes til at returnere ukorrekte resultater af et rootkit, må sikkerhedsprogrammerne være omhyggelige med kun at bruge deres egne underrutiner og tjekke deres integritet før brug.

En metode består i at beregne kontrolsummer fra de kørende afdækningsrutiner, der kun ser rigtige ud, hvis kun den originale kode er til stede. Hvis man ændrer en byte, bliver kontrolsummen forkert.

På trods af disse vanskeligheder eksisterer der brugervenlig antirootkit-software til Windows. Og meget af den er gratis.

Slå igen

En af disse applikationer er Sophos Anti-Rootkit (www.bit.ly/JjOaQ). Når du har downloadet den eksekverbare fil, skal du køre den og acceptere licensbetingelserne. På den næste skærm klikker du »Install« og derefter »Yes« for at køre den installerede applikation.

Brugerfladen er enkel. Først skal du beslutte dig for, hvilke dele af systemet du vil scanne. Det omfatter de kørende processer, registreringsdatabasen og filer på lokale harddiske.

Hvis du har Sophos Anti-Virus installeret, kommer der en boks frem, man kan klikke i: »Extensive scan«. Det sætter programmet til at scanne alle filer på disken, ikke kun de skjulte.

Klik på »Start Scan« for at sætte gang i softwaren. Den komplette scanning kan tage lang tid. Det skyldes navnlig antallet af filer, som den skal scanne på de lokale harddiske.

Bliv ikke forskrækket, hvis det øverste felt begynder at blive fyldt op med filer. I de fleste tilfælde kommer de kun med, fordi de er filer, hvis skjulte egenskaber er indstillet sådan, at brugeren ikke kan slette dem ved en fejltagelse (for eksempel en afinstallationsfil til en applikation).

Når man klikker på et eksempel i det øverste felt, bliver dets detaljer vist i det nederste felt. En af oplysningerne er, om filen kan fjernes.

Når det gælder filer, som Anti-Rootkit ikke genkender, men heller ikke betragter som farlige, får du denne tekst: »Yes (but cleanup not recommended for this file«). Når det er filer, som du bør rydde op i, får du denne tekst: »Yes (cleanup recommended)«.

Når scanningen er overstået, skal du vælge de filer, processer og registreringsdatabasedata, som Sophos anbefaler dig at slette. Det gør du ved at klikke i boksene til venstre for filerne i feltet til venstre. Klik så på knappen »Clean up checked items«. En dialogboks kommer frem og spørger, om du er sikker på, at du vil fjerne dem.

Tid til rengøring

Hvis du bekræfter, at du vil slette elementerne, bliver de fjernet, og Anti-Rootkit beder dig om at genstarte computeren. Når den er genstartet, bør du øjeblikkelig køre Anti-Rootkit for at sikre dig, at den formodede rootkitinfektion ikke er kvik nok til at helbrede sig selv og gendanne filer, processer eller registreringsdatabasedata.

Når du kører Anti-Rootkit, giver brugerfladen dig en oversigt over de handlinger, der er foretaget, og fortæller, om de var vellykkede. Hvis alt nu er rent, er alt godt. Hvis det ikke er tilfældet, kan Sophos hjælpe.

Gå til den sikre website https://secure.sophos.com/support/samples, skriv dine oplysninger og en kontaktmetode og klik på »I want to submit a | Sample file« på rullemenuen.

Klik på »Continue«, udfyld oplysninger om operativsystem og version og beskriv dine mistanker i tekstboksen. Klik igen på »Continue«. Du bliver nu bedt om at uploade tre filer.

Klik på knappen »Browse« og gå til C:Dokuments and Settings<dit brugernavn>Local SettingsTemp. De tre filer, du skal uploade, er »samples.sar«, »sarscan.log« og »sarclean.log«.

Når du uploader den anden og tredje fil, skal du klikke på »Upload another file«. Når disse uploads er færdige, klikker du på »Submit«. Så ser Sophos’ supportfolk på filerne og giver dig råd via den kontaktmetode, du har valgt.

Spørg en anden til råds

Selv om de stadig kun sjældent ses på Windows, er rootkits nogle glatte sager, og teknologien udvikler sig hurtigt. Hvis du er i tvivl om, hvorvidt der ligger et rootkit og lurer på din maskine, er det en god ide at spørge en anden til råds.

Vi bruger Stopzilla (www.stopzilla.com), der kører på XP, Vista og Windows 7. Stopzilla er ikke freeware – et årsabonnement koster USD 9,95 (cirka 54 kroner) – men det er et driftsikkert system i de situationer, hvor man har brug for at være sikker på, at computeren er rootkit-fri. Hvis det finder noget, virker prisen pludselig vældig lav!

Installer programmet og kør den eksekverbare fil. Den downloader den seneste version af hovedapplikationen, der fylder omkring 22MB. Så snart den er downloadet, skal du klikke på »Quick Install« og acceptere licensbetingelserne for at indlede installationen.

Når den er overstået, starter Stopzilla i baggrunden, søger opdateringer og aktiverer sine realtids-skjolde. Dernæst beder den om en genstart af systemet. Når det er sket, bliver Stopzilla indlæst og laver en komplet systemscanning.

Hvis alt er vel, finder Stopzilla intet mere problematisk end nogle cookies. Men hvis den finder et rootkit, ved du, at anden software har overset det. Du kan enten betale 54 kroner for at få det fjernet eller lede efter anden gratis antirootkit-software på nettet.

Eftersom rootkits effektivt undergraver den måde, et operativsystem arbejder på, var det uundgåeligt, at nogle ville bruge disse teknikker til at indføre et system til håndtering af digitale rettigheder (DRM).

I 2005 indførte Sony rootkit-agtig kopibeskyttelse på 102 cd-udgivelser. Når brugerne afspillede cd’erne, blev softwaren automatisk installeret. Meningen var, at det skulle få Windows til at afvise at kopiere disse cd’er, men problemerne lurede lige om hjørnet.

Softwaren blev diskret installeret, før brugeren blev præsenteret for en slutbrugerlicens. Og da det foregik i hemmelighed, var der ingen mulighed for at afinstallere den.

Disse omstændigheder er teknisk ulovlige i mange lande. Det mest problematiske var imidlertid, at Sonys rootkit i sig selv var sårbart over for angreb og infektion fra malware, der kunne drage fordel af dets hemmelige væsen.

Mark Russinovich har på Microsoft Sysinternals’ blog (www.bit.ly/7sPgt1) skrevet, hvordan han oprindelig opdagede Sonys skjulte software og slog alarm.

På grund af den potentielle trussel fra sårbarheder i Sonys DRM-software, steg presset på antivirusselskaber om at tage det med i deres virussignatur-database.
Sony udgav et afinstallationsprogram, men det gjorde kun sagerne endnu værre.

Det meddelte, at der var yderligere skjult software, og krævede en e-mail-adresse for at kunne køre. Kritikerne sagde, at Sonys licensbetingelser kunne bruges til masseudsendelse af e-mail. I slutningen af 2005 begyndte retssagerne at svirre. Polemikken førte til, at ingen andre siden

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]