Symantec heeft bekend een rootkit-achtige feature in haar Norton SystemWorks te hebben gebruikt, waardoor aanvallers malware zouden kunnen plaatsen zonder dat de virusscanner dit zou detecteren. De anti-virusaanbieder probeerde bewust een map voor Windows APIs te verbergen, waarmee voorkomen moest worden dat gebruikers per ongeluk bestanden zouden verwijderen. Na waarschuwingen van security experts heeft het bedrijf nu een update voor SystemWorks uitgebracht die het probleem oplost.
Volgens Symantec was de kans dat een aanvaller het lek zou gebruiken erg klein. In de nasleep van de Sony rootkit affaire besloot men toch een update uit te brengen die de map weer zichtbaar maakt.
De feature, genaamd feature Norton Protected Recycle Bin, is ingebouwd in Norton SystemWorks en bevat een map genaamd NProtect die voor Windows APIs verborgen is. Omdat de map onzichtbaar is, worden bestanden in deze map niet door de virusscanner gescand. Ondanks het kleine risico raadt Symantec gebruikers aan om de software te updaten.
"Het is een zeer slecht idee om dingen op plekken te verstoppen waar het een gevaar vormt. Ik zie dit steeds vaker bij commerciele aanbieders" zegt Mark Russinovich, die de "rootkit" samen met het Finse F-Secure ontdekte.
"Zelfs als je met goede bedoelingen rootkit-achtige technieken gebruikt, heeft de gebruiker geen controle meer over de machine. Het is onmogelijk om de security en gezondheid van de machine te beheren als de eigenaar niet meer de controle heeft." In tegenstelling tot Sony zag Symantec wel het gevaar van haar acties in, en besloot het om meteen actie te ondernemen, aldus Russinovich.
Zelfs legitieme rootkits kunnen voor veel schade zorgen. Als er namelijk meerdere rootkits op een systeem actief zijn, kan dit invloed hebben op de werking van Windows.
Deze posting is gelocked. Reageren is niet meer mogelijk.