Kaspersky klar med ny gift mod rootkits

Et antivirussystem, der lever uden for styresystemet og som analyserer trafikken mellem processor og harddisk, er ifølge antivirusproducenten Kaspersky midlet mod rootkits, der begraver sig dybt i styresystemet.

Antivirusproducenten Kaspersky har taget patent på en ny teknologi, der skal sætte en stopper for rootkits og anden malware, der kan grave sig dybt ned i det omgivende styresystem og på den måde undgå at blive opdaget af almindelig antivirussoftware. Det skriver Digi.no.

Teknologien består i at indskyde et selvstændigt lag, som opererer uden for maskinens styresystem, der analyserer datatrafikken mellem processor og harddisk. Hvis trafikken indeholder ondsindet kode, blokeres den.

Det ekstra lag kan enten kobles på systembussen, der transporterer data rundt i pc'en, eller syes ind i diskkontrolleren.

En tilsvarende ide benyttes i firmaet Yoggie Security Systems' produkter. Her benyttes udvidelseskort med egen processor, hukommelse og software. Men Kaspersky skriver i patentansøgningen. at hvor Yoggies produkter kun analyserer netværkstrafikken, så kigger Kaspersky på alt, hvad der skrives til disken.

Virusdefinitionerne opdateres ved at sende digitalt underskrevne data til Kaspersky-maskinen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Bjarke Walling

I stedet for flere antivirus-produkter, hvad med en fornyet tilgang til hele problemstillingen? Der findes en masse programmer på webbet: Nogle er okay, nogle er farlige. Operativsystemet burde som udgangspunkt antage at den software du installerer er farlig. De kan jo også bare være lavet buggy. Hvorfor findes buffer under-/overflow overhovedet? Det undrer mig eftersom enhver arkitektur med respekt for sig selv har mulighed for forskellige hardwaretjeks. Et godt eksempel er No eXecute-flaget på x86-64, der gør at programmer ikke kan udføre vilkårlig kode. Noget tilsvarende kan laves med segments på x86. Her er f.eks. et paper om at udføre usikker x86-kode på en sikker måde med få procents hastighedsnedsættelse: http://nativeclient.googlecode.com/svn/data/docs_tarball/nacl/googleclie... Det må være muligt at løse problemet mere generelt end antivirus prøver det.

  • 0
  • 0
#4 Per Gøtterup

Det er jo logik for høns at for at kunne opdage og stoppe rootkits så skal man arbejde på samme dybe niveau, og så gælder det bare om at få kontrollen på det niveau først og så kan den næste part (rootkittet) godt glemme alt om det.

Men som andre har skrevet det, så er det lidt pinligt at operativsystemet tillader programmer at gå bag dets ryg og lægge sig dybere ned at hvad operativsystemet selv kan kontrollere. Men heldigvis ser det altså nu ud til at man er ved at vågne op og gøre noget ved det, sådan at de nye antivirus-programmer mere er en slags super-BIOS som startes før alt andet, inklusive bootsektor vira og rootkits.

Det svageste punkt er stadig dumme brugere (og de fleste er virkeligt dumme!) og derfor må man ikke gå ud fra at de kan tænke selv. Det skal altså ikke være muligt at give tilladelse til at et program tilsendt via mail kan få lov til at lægge sig ind som en bagdør, rootkit eller lignende med et enkelt klik som godkendelse. Jeg skal her henvise til den test hvor folk blev udsat for advarselsvinduer med teksten "KLIK IKKE PÅ KNAPPEN!!!" og 85% klikkede alligevel på knappen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere