SubVirt adlı "Virtual Machine Based Rootkit" (VMBR) anti virüs yazılımlarının karşısında çaresiz kaldıkları bir süper rootkit olarak nitelendirilebilir. Çünkü bu rootkit saldırılan
işletim sisteminde değil, ona paralel olarak
sanal bir ortamda görev yapıyor.
Microsoft elbette taraf değiştirmiş değil. Bu
senaryo hacker'ların gelecekte ne tür saldırılar gerçekleştirebileceği hakkında fikir verme ve Redmond'un bu tehlikelere karşı şimdiden ha-zırNkyaptığını gösterme amacında. Yine de Red-mond'dakiyazılım uzmanlarının VMBR üzerinden kullanıcıların bilgisayarlarını
kontrol edebileceği düşüncesi, Sub-Virt'in akıllarda yeni soru işaretleri yaratmasına neden oluyor. Dolayısıyla Rootkit'in çalışma mantığı yeni Big Brother senaryolarını akıllara getiriyor. SubVirt, Micro-soft'un PC emülasyonu için sunduğu VirtualPC yazılımını temel alıyor. VMBR işletim sistemi altında kendisini kurarak, bilgisayar yeniden başlatıldığında sanal bir PC ortamında devreye giriyor. Kurulum için gereken sabit
disk alanı yaklaşık 250 MB'la sınırlı. Kullanıcı rootkit yüklü sistemde normal kullanımda herhangi bir performans kaybı hissetmese de işletim sisteminin başlatılması daha uzun sürebiliyor. Bir Microsoft çalışanının kullandığı sistemin bu rootkit'ten etkilendiğini fark etmediği ifade ediliyor.
İstediğini yapabilir
Bu nitelikte bir VMBR, her kullanıcı tarafından kodlanamayacak kadar karmaşık olsa da uzman kullanıcıları zorlamayacaktır. Rootkit sisteme kurulduktan sonra akla gelebilecek tüm uygulamaları çalıştırabilir. Microsoft'un gerçekleştirdiği testler phishing e-
posta sunucularının ve key-logger'ların çalıştırılabileceğini ortaya koyuyor. Teoride
kopya koruması ya da açık kaynak kodlu yazılımların kullanılmasını engelleyen bir denetim mekanizması da devreye sokulabilir. Sonuç: Yeni anti virüs stratejilerinin geliştirilmesi şart. Ancak Microsoft uzmanlarının PC'yi nasıl kontrol edebildiklerini gösterdikleri sunum, aslında kullanıcılar açısından endişe verici olabilir. Kullanıcıların duruma nasıl müdahale edeceği sorusu şu an için yanıtsız. Donanım tabanlı anti virüs yazılımlarıyla iIgili ufak bir ipucuyla Microsoft şimdilik topu başkalarına atmış gibi görünüyor.
Bilgi için: http://vx.net-lux.org/lib/vskOO.html
Saldırı nasıl gerçeklişiyor?
"Virtual Machine Based Rootkit (VMBR) işletim sistemiyle donanım arasında bir noktada devreye giriyor. Sanal ortamda system, VMBR'ye parallel olarak fark edilmeden çalıştırılabiliyor.
CHIP Dergisi/ZAMAN