НА БАГАХ В CHROME - Xakep Online

MALWARE2000Русский программист создал проект he4hook.Программа не содержала вредоносного кода,но умела скрывать файлы на жестком диске.Она работала на уровне ядра, но сам автор несчитал свое детище руткитом.2002В 2002 году появилась утилита HackerDefender (она же HacDef). Программа, неявлявшаяся зловредом, тем не менее предоставлялагораздо больше возможностей, чемhe4hook. HacDef умела скрывать не толькофайлы, но и ключи реестра и процессы.Утилита имела гибкие настройки и работалапреимущественно в user-mode.2003Инструмент Vanquish вышел в 2003 году.Он позволял скрывать файлы, директориии ключи реестра, но, в отличие от своихпредшественников, выполнял некоторыевредоносные действия, а именно логировалпароли. Работал Vanquish в ring3.В этом же году появился Haxdoor. Это былуже полноценный бэкдор, использовавшийруткит-технологии для своей маскировки. ПОработало в режиме ядра. Позже вышла егомодификация A-311 Death.2004В 2004 году появилась утилита FU, предназначеннаядля сокрытия процессов. ОнаЧасть кода MebromiКОММЕРЧЕСКИЕ АНТИВИРУСЫПРИ ОБНАРУЖЕНИИ РУТКИТОВБЫЛИ МЕНЕЕ ЭФФЕКТИВНЫ, ЧЕМСПЕЦИАЛИЗИРОВАННЫЕ БЕСПЛАТНЫЕУТИЛИТЫкоммерческие антируткит-утилиты. Первыеверсии таких программ были узконаправленными,например умели выявлять толькоскрытые файлы, но со временем маленькиеутилиты превратились в полноценное ПО дляобнаружения rootkit-вирусов. Такие программыобладают мощным функционалом и гибкиминастройками. К наиболее полезным изних можно отнести GMER и Rootkit Unhooker.Параллельно в недрах хакерского сообществабыла разработана технология eEyeBootRoot, породившая концептуально новыйкласс руткитов — загрузочные руткиты илибуткиты. Идея вовсе не нова, так как вирусы,записывающие себя в MBR, существовалиеще во времена MS-DOS. Правда, в миреWindows такие шалости были гораздо сложнеев реализации и опаснее.2006В 2006 году руткит-технологии начали использоватьсяв e-mail-червях и троянцах,таких как Bagle или Goldun. Один из крупнейшихботнетов того времени — Rustock —активно использовал rootkit-приемы. К концусвоей жизни спамерская сеть насчитывалаоколо двух миллионов компьютеров и моглаотправлять до 25 тысяч сообщений в час.Между тем крупные антивирусные компаниив массовом порядке стали внедрять всвои продукты модули по борьбе со всемогущимизловредами. В целом коммерческиеантивирусы при обнаружении руткитов былименее эффективны, чем специализированныебесплатные утилиты, которыми, однако,могли использоваться только профессионалами.Но и вирмейкеры не стояли на месте.Появились концепции руткитов, основанныена аппаратной виртуализации. В 2006-м ихбыло целых три: SubVirt, Vitrio и BluePill.Последняя была публично продемонстрированана конференции Black Hat Briefingsтретьего августа 2006 года в виде образцареализации для ядра Windows Vista. Этотруткит разработала Йоанна Рутковская,польский специалист по компьютернойбезопасности. Йоанна утверждала, что еетворение является «на 100 % не обнаруживаемым»,поскольку гипервизор можетобмануть любую программу детектирования.Впоследствии она же создала прореализовывалапринципиально новую технологию,основанную на изменении системныхструктур, а не путей к ним, как это делалипредыдущие программы такого типа.В это время множество вредоносныхпрограмм начали использовать код илиготовые утилиты таких руткитов, как HacDefи FU. Вирусы либо напрямую обращались кисполняемым файлам маскирующего софта,что было самым распространенным решением,либо модифицировали код опенсорныхзловредов-руткитов, основанных на Haxdoor.Haxdoor, FU и HacDef в том или ином видевстречались в 80 % руткитов того времени.Очень редко можно было встретить rootkit’ы,написанные на заказ. Качество этих уникальныхпрограмм было на высоте.2005В 2005 году руткиты распространились настолькошироко, что привлекли вниманиеСМИ и крупных компаний. Так, например, наконференции RSA Security софтостроительнаякорпорация Microsoft подняла вопрос обугрозах со стороны руткитов.В это же время начали появляться не-084ХАКЕР 02 /157/ 20122