John Heasman biztonsági szakértő tollából az elmúlt héten megjelent egy olyan cikk, amelyben azt ecseteli, hogyan lehetséges elrejteni kártékony kódokat grafikus- és hálózati kártyákban.



Mindezt oly módon, hogy a kémprogram és vírusfelismerők ne észleljék azokat. Így azok még akár egy operációs rendszer újratelepítést is képesek lehetnek "átvészelni".

A múlt szerdán napvilágot látott íromány - amely Heasman év elejei munkájára épül - olyan módszereket ismertet, amelyek az úgynevezett Advanced Configuration and Power Interface (ACPI) függvények segítségével szinte minden alaplapon képes tárolni és futtatni egy olyan rootkitet, amely megőrződik a számítógép újraindítása után is. Az írás körvonalazza is azokat a módszereket, hogyan vehető igénybe a Peripheral Component Interconnect (PCI) kártyák memória bővítése, mint például a grafikus- illetve hálózati illesztőké.

Heasman - aki egyébként kutatóként dolgozik a Next-Generation Security Software cégnél - mégsem tart attól, hogy az ilyen technikák mindennapossá válhatnak.

Amíg rengeteg ember fittyet hány a rendszeres Windows frissítésekre, és semmilyen víruskeresőt nem használ a számítógépén, addig semmi sem készteti arra a kártékony kódok készítőit, hogy ezekhez a bonyolultabb módszerekhez nyúljanak. Még ha egy felhasználó észleli is a rosszindulatú programot a gépén, és történetesen le is irtja azt, akkor is marad éppen elég hatalmas mennyiségű védtelen célpont számukra az interneten.

Heasman egy lehetséges védekezési módot is felvázol tanulmányában. Eszerint a bővített memória és a rendszer memória terület átvizsgálásával lehetséges a gyanús kódok nyomára bukkanni, a 32 bites kódok jelenlétének, a szokatlan osztály kódoknak - beleértve ebbe a fertőzés minden árulkodó jelét. Ezen felül azok a számítógépek, amelyek a Trusted Computing Module (TCM) használatával védik rendszerindító folyamataikat, ellenállnak az ilyesfajta rootkites praktikáknak.