Rootkit และ Virus

Rootkit นับเป็นความใฝ่ฝันอันสูงสุดของนักพัฒนามัลแวร์ มันช่วยให้โปรแกรมอันตรายต่างๆไม่ว่าจะเป็น เวิร์ม, bot, หรือโปรแกรมอื่นๆสามารถซ่อนตัวเองไม่ให้ถูกค้นพบได้โดยง่ายไฟล์ของโปรแกรมไม่แสดงใน Windows Explorer ไม่มีรายชื่อโปรเซสใน Task Manager แม้กระทั่งโปรแกรมป้องกันไวรัสเองก็ไม่สามารถตรวจสอบพบ Rootkit ที่ซ่อนอันตรายเหล่านั้นเอาไว้อยู่ นี่ก็เป็นสาเหตุที่ทำให้ผู้พัฒนามัลแวร์หันมาใช้ Rootkit กันมากขึ้นเพื่อป้องกันไม่ให้มัลแวร์ของตัวเองถูกจับได้

จากข่าวดังเมื่อปลายปีที่แล้วทาง Sony music ได้ทำการแถม rootkit มาเพื่อป้องกันการคัดลอก CD ทำให้พวกวายร้ายต่างๆไม่รีรอที่จะใช้ช่องโหว่ของโปรแกรมที่ทาง Sony สร้างขึ้นมาใช้ซ่อนโปรแกรมของตัวเองโดยโปรแกรม Rootkit ของ Sony จะทำการซ่อนโปรเซสที่ขึ้นต้นด้วย “$sys$” ดังนั้นผู้พัฒนามัลแวร์ก็ทำการเปลี่ยนชื่อโปรเซสของเขาให้เป็นลักษณะดังกล่าวเท่านั้น

ในเดือนมีนาคมที่ผ่านมา ผู้ผลิตโปรแกรมป้องกันไวรัสที่ชื่อ Panda House ได้รายงานว่าพบเวิร์มที่มีชื่อว่า Bagle พัฒนาตัวเองใหม่ด้วยการติดตั้งคุณสมบัติของ rootkit มาด้วยที่แย่ยิ่งกว่านั้น เหมือนกับผู้ผลิต botnet ผู้่ผลิต rootkit เองก็ได้มีการขายเครื่องมือสำหรับพัฒนาหรือแจกให้ใช้ฟรีเลยด้วยซ้ำทำให้การเพิ่ม rootkit ให้กับ bagle นั้นเป็นสิ่งที่ง่ายมากหรือแม้กระทั่งการเพิ่มมันพร้อมๆกับการสร้างมัลแวร์ต่า่งๆขึ้นมาใหม่

ด้วยโอกาสที่พวกผู้บุรุกสามารถใช้ rootkit ที่มีอยู่แล้วนั้นพวกเขาสามารถทำให้ระบบอื่นๆเกิดความผิดพลาดในการทำงานได้ด้วย ตัวอย่างเช่นบริษัท eEye ที่ธุรกิจเกี่ยวกับความปลอดภัยได้กล่าวว่า มีความเป็นไปได้ที่ผู้บุกรุกจะซ่อนไฟล์เอาไว้ใน Boot Sector ของฮาร์ดไดร์ฟได้ ในเดือนมกราคมที่ผ่านมา Next-Generation Security Software ได้ประกาศว่าตัว rootkit นั้นยังสามารถใส่ code ต่างๆที่ลงไปใน BIOS ได้ด้วย โดยอาศัยคุณสมบัติ Advanced Configuration และ Power Interface ของ BIOS นั่นเอง

โครงการนึงที่ดำเนินการโดยความร่วมมือระหว่างไมโครซอฟท์และมหาวิทยาลัย Michigan ได้ค้นพบวิธีใหม่ของ rootkit โดยวิํีธีการใหม่นี้จะทำการยกระดับของระบบปฏิบัติการให้สูงขึ้นก่อนแล้วจึงใช้โปรแกรมที่ชื่อ SubVirt คั่นไว้ใต้ระบบปฏิับัติการอีกทีนึง ระบบปฏิบัติการจะสามารถทำงานได้ปกติทุกอย่างโดยที่ไม่รู้ว่ามีโปรแกรมที่ทำหน้าที่เป็น Virtual machine คอยทำการควบคุมสิ่งที่ OS ติดต่ออยู่ที่อีกครั้งนึงและสามารถทำการซ่อนตัวเองได้อย่างง่ายดาย

ที่โชคดีกว่านั้นเทคนิคนี้ยังไม่สามารถพัฒนามาใช้จริงได้ง่ายนักและมันยังมีร่องรอยที่ทำให้ผู้ใช้ไหวตัวได้ เช่นทำให้ระบบทั้งระบบทำงานช้าลงมากและมีการแก้ไขไฟล์หลายไฟล์ในขณะนี้นั้นวิํธีการนี้ทำงานได้เฉพาะในจินตนาการเท่านั้นและต้องใช้เวลาอีกนานกว่าที่ผู้พัฒนาจะทำการโจมตีีแบบนั้นได้เป็นผลจริง

การป้องกัน

  1. เลือกโปรแกรมป้องกันไวรัสที่มีคุณสมบัติในการค้นหาและจัดการกับ rootkit ได้ ซึ่งเวอร์ชั่นล่าสุดของ Kaspersky และ F-Secure ได้มีคุณสมบัตินี้แล้วส่วนค่ายอื่นๆนั้นยังคงต้องรอไปก่อน
  2. ใช้โปรแกรมค้นหา rootkit เช่น Sysinternal RootkitRevealer (find.pcworld.com/53734) และ FSecure Blacklight (find.pcworld.com/53736) ซึ่งทั้ง 2 โปรแกรมนี้เป็นโปรแกรมที่ให้ดาวโหลดได้ฟรีและโปรแกรมตรวจสอบอื่นๆกำลังทยอยกันออกมา