Na celém světě dominují na počítačích operační systémy Windows. Není tedy divu, že hackeři a další narušitelé se zaměřují na napadání těchto systémů více než na jiné. Pro Windows vymýšlejí různé viry, trojské koně a další škodné programové kódy. Neustále vyvíjejí nové technologie, s jejichž pomocí jsou schopni pronikat do počítačových systémů. Jedním z posledních trendů je také využívání různých pokročilých technik ukrytí kódu – tzv. rootkit.
Rootkity však nejsou škodlivým kódem samy o sobě, ale jsou v drtivé většině případů zneužívány v souvislosti s počítačovými viry, backdoory a spywarem. Kombinací viru a rootkitu vzniká něco, čemu se říká skrytý virus. Se škodlivými rootkity se na internetu nelegálně obchoduje. Někteří hackeři dokonce vytvářejí tyto nástroje za úplatu na objednávku. Tento typ softwaru se často používá ke skrytí zadních vrátek (backdoor), která narušiteli umožňují nepozorovaný přístup k počítači. Rootkity se obvykle šíří jako součást škodlivých programů typu trojský kůň nebo spolu se stažením nebezpečných dat. Někteří výrobci adwaru používají rootkity také ke skrytí svého softwaru. V loňském roce bylo zaznamenáno celkem 3 284 škodlivých rootkitů, a jen za první polovinu letošního roku se toto číslo zvýšilo více než dvojnásobně na 7 325.
Jak se jim bránit?
Pomocí speciálních programů, které rootkity dokáží odhalit. Těch již existuje několik. V poslední době přišla s jedním takovým i společnost McAfee a my vás s ním nyní seznámíme.
Rootkit Detective, jak se nástroj jmenuje, je nový a zdarma dostupný software, který pomáhá uživatelům vyčistit počítače od zavlečeného a skrytého typu nebezpečného kódu typu rootkit. Nástroj Rootkit Detective vyvinuly laboratoře Avert Labs. První verze nástroje Rootkit Detective byla uvedena letos v lednu a již se dočkala více než 110 000 stažení.
Stažení a instalace
Domovské stránky produktu naleznete na této adrese. ZIP archiv, ve kterém se skrývá samotný program, si potom můžete stáhnout přímo zde – Rootkit Detective (1,5 MB). Je určen systémům Windows 2000, XP a 2003. Výhodou je to, že se nemusí instalovat, a tudíž ho lze spustit i bez administrátorského oprávnění.
Rootkit Detective je výkonný nástroj, který uživatelům umožňuje nahlédnout pod povrch operačního systému. Lze jej použít například ve chvíli, kdy dojde k náhlému zpomalení odezvy systému nebo k podezřelé síťové aktivitě. Nástroj Rootkit Detective zviditelňuje skryté procesy, položky registru i soubory a umožňuje je uživateli bezpečně odebrat nebo zakázat pomocí restartu systému. Tento nástroj navíc uživateli umožňuje zkontrolovat integritu paměti jádra (kernelu) systému počítače a zobrazit veškeré změny, které mohly také přispět k jeho ohrožení.
Pomocí tohoto nástroje můžete navíc pomáhat s ničením rootkitů a to tak, že budete zasílat vzorky identifikovaných kódů laboratořím Avert Labs. Po provedení analýz bude vytvořena definice příslušného rootkitu a přidána ke klientských bezpečnostním produktům společnosti McAfee, což umožní vylepšit detekci rootkitů a možnosti zabezpečení obecně.
Jak s programem pracovat
Rootkit Detective patří mezi jednoduché aplikace, které zvládne obsluhovat i běžný uživatel PC. Po spuštění se objeví hlavní a zároveň jediné okno. Vy klikněte na tlačítko Scan a vyčkejte, než nástroj prověří systém na výskyt rootkitů.
Po dokončení na vás již čeká nejednoduché rozhodování, co je škodlivý rootkit a co nikoliv. Zde je totiž pouze na uživateli, co označí za škodlivé a co nikoliv. Běžný uživatel si tedy s tímto rady vědět nebude a nezbude mu nic jiného, než požádat o radu zkušeného uživatele PC či se podívat na význam jeho rootkitů na internetu. Důvodem je skutečnost, že Rootkit Detective označuje podezřelé i neškodné, které však mohou být v některých případech škodlivé. S tím však souvisí i to, že odstraněním potřebného rootkitu můžete způsobit nefunkčnost některého programového vybavení či dokonce pád Windows. Na to je tedy zapotřebí dbát.
Rootkit Detective prověřuje hned pět oblastí Windows – skryté procesy a soubory, skryté klíče a hodnoty v registru Windows, funkce jádra, změny v jádru (import/export) a poslední je seznam spuštěných procesů v PC.
Jestliže shledáte nějakou položku za škodlivý rootkit, označte ji a tlačítkem Rename ji smažte. To lze jen v případě, že jde o skrytý rootkit. Chcete–li ničit i ty neskryté, musíte kliknout na volbu Settings a toto nejprve nastavit.
Závěrem
Produkt Rootkit Detective je oproti své konkurenci dále. Nabízí nejvíce funkcí a je zároveň nejkomplexnější. Výskyt rootkitů si může prověřit každý, ale už ne všichni dokáží rozpoznat, který je škodlivý a který nikoliv. Škoda, že nástroj nenabízí nějakou možnost, jak to rozeznat. Stačilo by, kdyby pro nalezený problém existovala nějaká znalostní databáze na internetu. Z každého prověření je však vytvořen report, který můžete autorům produktu poslat. Nejenže pomůžete při dalším vývoji, ale i oni sami by vás mohli upozornit, že ve vašem PC běží škodlivý rootkit.
