A Windows XP a rootkitek melegágya

Az Avast kutatói a legutóbbi felmérésük során elsősorban arra voltak kíváncsiak, hogy a Windows operációs rendszerek különböző verziói mennyiben befolyásolják a rootkitek terjedését. Több mint 600 ezer számítógép átvizsgálásával gyűjtött statisztikai adatok alapján megállapították, hogy a nem megfelelően frissített Windows XP sokkal több kockázatot hordoz, mint azt eddig sejtették.

A biztonsági cég felmérése szerint az összes rootkittel történő fertőzés 74 százaléka Windows XP operációs rendszeren következik be. Ugyanez az arány a Windows 7 esetében mindössze 12 százalék. Nyilván az Avast is tisztában van azzal, hogy a Windows 7 kevesebb PC-n fut, mint a Windows XP, de ez nem indokolja az ilyen nagyarányú különbséget. (Az Avast szerint a Windows XP részesedése 58 százalék, míg a legújabb Windows kiadásé 31 százalék.)

A rootkitek mind égetőbb problémát jelentenek, ugyanis a detektálásuk és az eltávolításuk is egyre nehezebbé válik. E kódoknak ugyanis éppen az a céljuk, hogy a kártékony programok nyomait elrejtsék, és minél tovább biztosítsák azok zavartalan futását. A rootkitek a botnetek működésében szerepet kapó károkozók esetében is egyre gyakrabban lépnek színre, és gondoskodnak arról, hogy a különféle trójai programok észrevehetetlenül küldözgessék a spameket, vagy további nemkívánatos programokat terjesszenek.

Elhanyagolt frissítések

"Statisztikáink szerint a Windows XP felhasználók harmada még mindig nem telepítette fel a Service Pack 3 javítócsomagot, ezért milliónyi számítógépen található elavult operációs rendszer, és ezeken nem vehető igénybe a megfelelő támogatás sem" - mondta Ondrej Vlcek, az Avast műszaki igazgatója. A szakember úgy véli, hogy a frissítések elmaradásának legfontosabb oka, hogy sokan a Windows kalózmásolatait használják, és ezért nem tudják, vagy nem akarják telepíteni a hibajavításokat. Vlcek mindenkit arra buzdított, hogy legálisan használják az operációs rendszert, és minimum követelményként tekintsenek az SP3 telepítésére. Ugyanakkor biztonságosabb megoldást jelent a Windows 7 használata, különösen a 64 bites verzióé. Ennek oka, hogy napjainkban a rootkitek még valamelyest nehezebben tudnak elbánni a 64 bites operációs rendszerekkel, amit az Avast felmérése is alátámaszt. Ugyanakkor nem szabad azt gondolni, hogy a "64 bit" minden rootkit ellen védelmet jelent, hiszen már tavaly is jelentek meg 64 bites károkozók.

MBR-rootkitek

Az Avast külön felhívta a figyelmet az MBR-ben (Master Boot Record) rejlő lehetőségeket kiaknázó rootkitekre, amelyek még az operációs rendszer és a védelmi alkalmazások előtt képesek betöltődni a memóriába, és ezáltal tudják megnehezíteni a detektálásukat. A biztonsági cég statisztikái ráadásul arról tanúskodnak, hogy a rootkitek 64 százaléka az MBR manipulálására is alkalmas.

Ahogy arról az egyik korábbi cikkünkben már beszámoltunk, még a szakemberek között is vita van azzal kapcsolatban, hogy az MBR-alapú rootkiteket miként célszerű eltávolítani. Sokak szerint elég a biztonsági cégek oldalairól sok esetben ingyenes letölthető antirootkit eszközöket használni, azonban többen úgy vélik, hogy igazán biztos megoldást csak a Windows újratelepítése jelenthet.