Проблема руткитов — модулей, скрывающих присутствие вредоносного ПО на компьютерах пользователей, — до сих пор остается серьезной головной болью для производителей решений информационной безопасности. Действительно, эффективных способов борьбы с руткитами до сих пор предложено не было. Между тем в 2006 г. количество вредоносного ПО, использующего свойства руткитов, выросло на 62%, а в 2007 г., по прогнозам специалистов, число таких программ увеличится еще на 40% по сравнению с предыдущим годом.

Компания S.N.Safe&Software (http://www.safensoft.ru) выпустила на рынок новую программу для защиты домашних ПК и рабочих станций в корпоративных сетях с интегрированным антируткит-модулем Safe’n’Sec Rootkit Detector. С помощью этого модуля новое решение Safe’n’Sec Pro выявляет скрытые процессы на компьютере пользователя; кроме того, ряд других новых функций обеспечивают эффективную защиту ПК от новых вирусов, целенаправленных атак, использования руткит-механизмов, угроз со стороны инсайдеров (в корпоративных версиях продукта), а также небезопасных действий начинающих пользователей.

В частности, новинка оснащена специальной функцией Unknown Process Isolation, которая подразумевает, что неизвестное/подозрительное приложение будет исполняться в изолированной от всех хранящихся на ПК данных и программ среде. Пользователь может самостоятельно определять, в какой среде будет выполняться та или иная программа (например, такое уязвимое приложение, как Internet Explorer), что позволит предотвращать атаки и использование уязвимостей таких приложений вредоносным кодом. Кроме того, в Safe’n’Sec Pro появился режим периодического пополнения базы доверенных приложений вместе с регулярными обновлениями программы. Для этих приложений в новом продукте также предусмотрено автоматическое создание правил контроля активности. Обе функции призваны снизить количество ложных срабатываний на программы, с которыми работает пользователь.

С помощью редактора правил пользователь сам может объединять условия обработки в логические группы, используемые для того или иного приложения. Кроме того, можно устанавливать временные интервалы действия правил контроля активности или задавать правила строго для определенного пользователя, настраивая программу так, чтобы она вела себя по-разному с продвинутым пользователем (задавая ему вопросы о подозрительном приложении) и начинающим (автоматически блокируя подозрительное приложение).

Пользователям dial-up-соединений с Интернетом пригодится возможность докачки периодических обновлений программы на уровне файла. Файлы обновления сохраняются на компьютере пользователя, и в случае обрыва соединения достаточно загрузить только недостающие файлы, а не все обновление.

В новый продукт интегрирована очень полезная опция блокировки назойливой рекламы и всплывающих окон. Модуль anti-adware блокирует мелькающие перед глазами рекламные модули и баннеры при посещении различных сайтов в соответствии с различными принципами и параметрами, например, по принципу «черного списка», по размеру рекламного модуля и т. д. После блокировки баннера программа сокращает предварительно занятую им область. Модуль anti-adware блокирует и настырно всплывающие окна, при этом останавливая лишь нежелательные, а не все подряд. Кроме того, новая опция Safe’n’Sec Pro скрывает от посторонних глаз все следы собственной активности пользователя (cookies, кэш-файлы, историю работы, ранее водимые и текущие Интернет-адреса), а также блокирует загрузку большого количества Web-страниц одним нажатием мыши. В случае повторного посещения одной и той же странички модуль anti-adware обязательно проинформирует об этом пользователя.

Важное новшество в Safe’n’Sec Pro — интегрированный модуль Safe’n’Sec Rootkit Detector (RD) (в версии Safe’n’Sec Pro Deluxe), способный выявлять скрытые модули режима ядра (драйверов), обнаруживать перехватчиков системных функций и вести поиск скрытых процессов. При запуске модуль регистрирует и запускает службу с динамически генерируемым именем, которую удаляет сразу же по завершении работы, не оставляя после себя своих драйверов и записей в реестре. Методики обнаружения скрытых модулей режима ядра позволяют выявить скрытые с помощью руткит-драйвера, включая технологии DKOM (Direct Kernel Object Manipulation). Кроме анализа системных структур и системной памяти детектор использует для своей работы технологию "ловушки".

Поиск перехватчиков системных функций включает анализ модификаций системных таблиц (таблиц системных сервисов, экспорта ядра, системных прерываний) и модификаций машинного кода ядра. При этом Safe’n’Sec RD сверяет целостность исполняемых файлов по собственной базе контрольных сумм (для наиболее распространенных бильдов ОС). Определяется подавляющая часть перенаправленных вызовов типа JMP, CALL, PUSH-RET, Debug Trap; модификация кода нераспознанным переходником (детектор сообщит о перехвате *unknown type*); модуль, обрабатывающий перехваченные функции. Детектор также проинформирует о любой модификации машинного кода ядра и определит название ближайшей экспортируемой или SSDT-функции ядра, дельта-смещение от ее точки входа.

Текущая версия Rootkit Detector в Safe’n’Sec Pro при тестировании в среде Windows XP SP 2 продемонстрировала способность обнаруживать такие скрытые с помощью руткитов модули режима ядра, как Unreal.A v 1.0 by MP_ART & EP_X0FF (Demo Rootkit), rkdemo 1.2 by MP_ART (Demo Rootkit), phide_ex by PE386 (Demo Rootkit), Backdoor.Rustok.B (Malware Rootkit), FU rootkit by Fuzen (Demo Rootkit).

Rootkit Detector не основан на реактивных технологиях и не привязан к сигнатурам или особенностям работы конкретного руткита. Реализованные в продукте методики позволяют обнаружить большинство руткитов, имеющих скрытый процесс, такие, как procmagic, fu и многие другие.

Safe’n’Sec Pro выходит на рынок в версиях для домашних ПК, среднего и малого бизнеса, крупных предприятий, а также в специальной версии для контроля доступа к конфиденциальной информации Safe’n’Sec Timing. Все версии Safe’n’Sec Pro совместимы с Windows Vista.