A Michigan egyetem kutatói saját fejlesztésükkel bizonyítják, hogy közeledik a rootkit programok újabb, még veszélyesebb generációja. Az eljárás működőképességét igazoló SubVirt program különleges képessége, hogy virtuálizáló eljárásokat alkalmaz.
A rootkit (hevenyészett fordításban: adminisztrátori felszerelés) olyan szoftveres eszközök gyűjteménye, amelyeket a számítógépre való betörést követően telepítenek. A feladatuk az, hogy a feltört rendszeren elrejtsék a behatoló minden további belépését, illetve a becsempészett fájlokat és az illegális programfolyamatokat.
A kifejezés ma már nem korlátozódik az Unix-alapú rendszerekre, mivel rootkitek már Windowsra is készültek. A rootkit rejtőzési funkciójára mindenekelőtt a vele párhuzamosan futó antivírus alkalmazás miatt van szükség. Így a támadó illetve a programjai a leleplezés veszélye nélkül tevékenykedhetnek.
Belülről minden rendben
Sikeres település esetén a SubVirt manipulálja a rendszerbetöltést, létrehoz egy virtuális számítógépet, és azon futtatja az eredeti operációs rendszer klónját. Tapasztalatlan felhasználók egyáltalán nem veszik észre a változást. Windows alatt a Virtual PC, Linux alatt a VMWare nevű szoftvert használták a kutatók, de az operációs rendszeren belüli virtualizáló eljárások elterjedésével az ilyen virtuális gépen alapuló rootkitek (Virtual-Machine Based Rootkit, VMBR) alkalmazása jóval egyszerűbbé válhat.
A virtualizáció lényege, hogy egyetlen hardveren több operációs rendszer futhat, a SubVirt esetében ez az eredeti oprendszer és annak kicsinosított klónja. Mivel a módosított operációs rendszer szintje alatt fut, rejtve befolyásolhatja annak működését. Az, hogy ki ellenőrzi a rendszer mélyebb rétegeit, alapvető előnyt jelent a számítógépes támadók és a védelem közti harcban, állapították meg a kutatók.
Csak papíron mutatják meg
A SubVirt a gyakorlati képességei bizonyítására potencionálisan kártékony programokat indít el. Betölt többek közt adathalászó (phising) webszervert, billentyűleütéseket jegyzetelő keyloggert, illetve kiiktatja a jelen lévő tűzfalat és a vírusvédelmet.
A jelenlegi rootkit-irtók a rendszerleíró adatbázis (registry) és a fájlrendszer között mutatkozó különbségeket, hogy kimutassák a felhasználói vagy admin jogú rootkitek jelenlétét. Ez az eljárás viszont haszontalanná válik, ha az ártó program a rootkitet nem ellenőrizhető helyen tárolja, jegyzi meg az eWeek.
A SubVirt hivatalos bemutatója a villamos- és elektronikai mérnökök Intézete (IEEE) biztonsági és adatvédelmi szimpóziumán, 2006 májusában lesz. Jelenleg csupán egyetlen PDF-dokumentum ismerteti a működési elvét.