Любите ли вы раздражающие диалоги User Account Control (UAC) в Windows Vista или нет, данная технология крайне эффективна для блокировки установки руткитов.
Это лишь одна из находок, спрятанных в отчете, опубликованном двумя немецкими журналами несколько месяцев назад после независимого теста AV-Test.org, призванного обнаружить, насколько эффективны антивирусные приложения против известных руткитов.
К сожалению разработчиков антивирусных продуктов как для Windows XP, так и для Vista, результаты оказались не очень хорошими. Из 30 руткитов, брошенных на съедение антивирусным сканерам для XP, ни один из семи протестированных антивирусных продуктов не обнаружил все 30. Таковы и неутешительные результаты для веб-сканеров. Лишь 4 из 14 созданных для блокировки руткитов инструментов справились с задачей на отлично.
Наилучшая защита
Лучшим оказался антивирус Avira AntiVir Premium Security Suite, который обнаружил 29 активных руткитов, а Norton обнаружил всего лишь 18 из 30. Инструменты для борьбы с руткитами справились заметно лучше: здесь первенство держат AVG Anti-Rootkit Free, GMER, Rootkit Unhooker LE и Trend Micro Rootkit Buster. К сожалению, ни одна из утилит не справилась с задачей по удалению обнаруженных руткитов.
Оценить результаты в Vista оказалось сложнее, поскольку всего лишь 6 руткитов смогли запуститься, но для этого исследователям пришлось полностью отключить UAC, поскольку включенный он не давал возможности запуститься ни одному из представленных руткитов.
Лишь три из 17 доступных для Vista антивирусных решений смогли обнаружить и успешно удалить обнаруженные руткиты - это F-Secure Anti-Virus 2008, Panda Security Antivirus 2008 и Norton Antivirus 2008.
При установке на компьютер руткиты могут замаскироваться, однако же, им надо добиться установки. Поскольку диалоги UAC прерывают любую деятельность, руткиты не смогут установиться на компьютер, не привлекая внимания пользователей.
То, что UAC может уведомить пользователя о том, что руткит пытается установиться, вовсе неудивительно, поскольку Vista и создавалась с идеями о перехвате всех обращений приложений, которые могут оказать влияние на целостность ОС.
Угроза руткитов
Руткиты по своей природе призваны обходить защиту операционной системы. После установки они могут делать все, что угодно их хозяину, включая вохможность установки иного вредоносного ПО, но уже с привилегиями администратора. Вопрос в том, как быть уверенным в том, что сканер сможет определить тип программы, созданный по принципу максимальной невидимости (от англ. extreme stealth)? В принципе, руткитом являются программы, призванные обходить защиту от копирования. Таким образом, руткиты - вещь сложная и достаточно опасная.
Поэтому несмотря на критику, с которой Vista столкнулась с момента своего релиза, ОС оказалась гораздо более безопасной по сравнению с предшествующими версиями Windows, а также альтернативными ОС. Количество публичных уязвимостей и данное исследование в очередной раз это доказывает.