image

Symantec gebruikte "rootkit" in Norton SystemWorks

donderdag 12 januari 2006, 10:27 door Redactie, 7 reacties

Symantec heeft bekend een rootkit-achtige feature in haar Norton SystemWorks te hebben gebruikt, waardoor aanvallers malware zouden kunnen plaatsen zonder dat de virusscanner dit zou detecteren. De anti-virusaanbieder probeerde bewust een map voor Windows APIs te verbergen, waarmee voorkomen moest worden dat gebruikers per ongeluk bestanden zouden verwijderen. Na waarschuwingen van security experts heeft het bedrijf nu een update voor SystemWorks uitgebracht die het probleem oplost.

Volgens Symantec was de kans dat een aanvaller het lek zou gebruiken erg klein. In de nasleep van de Sony rootkit affaire besloot men toch een update uit te brengen die de map weer zichtbaar maakt.

De feature, genaamd feature Norton Protected Recycle Bin, is ingebouwd in Norton SystemWorks en bevat een map genaamd NProtect die voor Windows APIs verborgen is. Omdat de map onzichtbaar is, worden bestanden in deze map niet door de virusscanner gescand. Ondanks het kleine risico raadt Symantec gebruikers aan om de software te updaten.

"Het is een zeer slecht idee om dingen op plekken te verstoppen waar het een gevaar vormt. Ik zie dit steeds vaker bij commerciele aanbieders" zegt Mark Russinovich, die de "rootkit" samen met het Finse F-Secure ontdekte.

"Zelfs als je met goede bedoelingen rootkit-achtige technieken gebruikt, heeft de gebruiker geen controle meer over de machine. Het is onmogelijk om de security en gezondheid van de machine te beheren als de eigenaar niet meer de controle heeft." In tegenstelling tot Sony zag Symantec wel het gevaar van haar acties in, en besloot het om meteen actie te ondernemen, aldus Russinovich.

Zelfs legitieme rootkits kunnen voor veel schade zorgen. Als er namelijk meerdere rootkits op een systeem actief zijn, kan dit invloed hebben op de werking van Windows.

Reacties (7)
12-01-2006, 12:51 door Anoniem
das mooi :)

ga door met dit soort dingen. Het legt de producent van een
bepaald product op dat er normale producten afgeleverd dienen te
worden en dat er regels gelden.
12-01-2006, 12:58 door Anoniem
Er komt een dag dat SECURITY-tooling als antivirus, firewalls, backup
GEVAARLIJKER worden dan de gemiddelde Bily-soft applicatie. (tenzij
Microsoft zelf antivirus gaat schrijven en uitbrengt als non-beta).
12-01-2006, 15:06 door Anoniem
Respect voor Mark Russinovich, hij is goed bezig de laatste
tijd en zorgt er ook voor dat software beter en veiliger wordt.
12-01-2006, 16:47 door G-Force
Nou een vreemd verhaal. Ik heb onlangs nog een scan van F-Secure
uitgevoerd (een Rootkit scanner). Maar er werd niets gedetecteerd.

De kritiek is echter wel juist. Rootkit-achtige dingen horen ook niet op een systeem thuis. Het is me wel opgevallen dat in een aantal dagen tijd 2 keer de Symantec driver werd vervangen door LifeUpdate.
13-01-2006, 07:25 door Anoniem
@Peter.V

Welk product van F-Secure gebruikte je? De stand-alone
F-Secure Blacklight of iets anders? Niet elk product van
F-Secure heeft (op dit moment) de rootkit scanner ingebakken.
13-01-2006, 12:43 door Anoniem
hmmzm ....

dus als ik het goed begrijp .... en je schrijft een virus
dat zich in een verborgen map verstopt, dat die dan niet
gescanned wordt !
13-01-2006, 18:03 door Anoniem
Door Anoniem
hmmzm ....

dus als ik het goed begrijp .... en je schrijft een virus
dat zich in een verborgen map verstopt, dat die dan niet
gescanned wordt !

Ja, dat klopt idd. Dat is het gevaar eraan, maar in het
geval van Symantec EN Kaspersky kan het niet uitgebuit
worden zoals die van Sony's DRM rootkit.

Wel is dit geen positieve evolutie, er moet aan die
bedrijven duidelijk gemaakt worden dat dit niet kan. Voordat
de rest van de bedrijven volgt en dit gewoon standaard zal
worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.