Da objasnim prvo sta je trojanac, da bi mogao da objasnim backdoor.
Trojanac je program koji osim poznatih/navedenih funkcija radi i nepozeljne sakrivene stvari.
Primer: imate editor teksta koji pored toga sto vi mislite da radi on belezi recimo vase sifre i salje ih negde.
Ovakvih primera skoro da nemate vise u praksi.
Prvi trojanci su kao skriveni deo uglavnom imali mogucnost da nekome dozvole pristup vasem kompjuteru (backdoor), ili da mu omoguci preuzimanje kontrole nad nekim resursima vaseg kompjutera (RAT - remote administration tool).
U danasnje vreme skoro da nema vise trojanaca (deo programa koji znate sta radi + skriveni), sada imate ciste backdoorove ili RAT-ove (cak nema neke jasne klasifikacije ni izmedju ove dve kategorije).
Ono sto se nekad nazivalo trojancem je sada dobilo naslednika u vidu spywarea. Razlika bi bila sto od spywarea nema korist onaj ko je napisao program koji sadrzi spyware, vec neka treca strana koja je platila ugradnju njihovog spywarea u program.
Rootkit je program (uglavnom driver) koji sluzi da sakrije nesto na sistemu od ociju korisnika, i od programa koji koriste standardan WindowsAPI za pristup fajlovima i registry-ju. Rootkitovi skrivaju fajlove, foldere i registry kljuceve, uglavnom da bi se sakrio neki drugi malware, mada moze imati i druge namene.
Muzicki CDovi iz Sony produkcije, ukoliko bi bili ubaceni u komp koji je imao Autorun ukljucen, instalirali bi rootkit koji nije dozvoljavao ripovanje CD-ova.
Norton instalira rootkit koji stiti njihov antivirus da ne bi bio kompromitovan od strane malwarea.
Problem sa rootkitovima je sto oni samo sakrivaju Folder, a u njega ipak moze da se udje ukoliko znate tacnu putanju i ime foldera.
To su iskoristili par malwarea, pa rootkitovan folder koriste za svoje sakrivanje
Norton AV ne nalazi malware koji je sakriven u sopstvenom rootkitovanom folderu... Kasnije je to ispravljeno.
Bilo je cak par malwarea koji su koristili Sonyjev rootkit za sakrivanje.
Ukoliko nemate Nortona ili ne slusate Sonyjeve diskove, a malware pokusa da se instalira u spomenute foldere - na vasem sistemu je taj malware potpuno vidljiv AV programima.
Kaspersky je isto bio optuzen da instalira rootkit. Da stvar bude jos gora, optuzio ih je Mark Rusinovic, covek koji vazi za vrsnog strucnjaka.
KAV koristi ADS (Alternative Data Streams), standardnu opciju NTFS-a, da bi u njima zabelezio checksume fajlova (za svaki fajl posebno). Ukoliko pri sledecem skeniranju fajl ima isti checksum - onda ne bude skeniran jer na njemu nije bilo promena. Ovim se dobija na brzini jer je daleko brze izracunati i uporediti checksume nego skenirati fajl.
KAV cak jasno pita pri instalaciji da li zelite da koristite tu tehnologiju, koju je nazvao iStreams.
Neznam kako se Mark osecao, i da li je zeleo sebi da prizna da mu je jezik bio brzi od pameti kada je saznao sta je u stvari "otkrio".
Mozda se malo zaneo posle onoga sto je otkrio Sonyjev i Symantecov rootkit...
Sajt Marka Rusinovica i njegov RootkitRevealer mozete naci na http://www.sysinternals.com/SecurityUtilities.html
btw. RootkitRevealer takodje instalira drajver da bi mogao da detektuje rootkitove (za koje smo rekli da su isto drajveri). Mark je prvi kome je to poslo za rukom, i program je napravio kada je skontao da se nesto cudno desava na njegovom kompu posle slusanja jednog CDa iz Sony produkcije. Pisali smo vec o tome
|