Lue uutinen mobiilisivustolla

F-Secure ja Mark Russinovich varoittivat Symantecia Nortonin rootkit-ominaisuudesta

F-Securen BlackLight-tekniikka paikansi Norton SystemWorksin piilokansion.

12.1.2006 09:57 Symantec on korjannut Norton SystemWorks-ohjelmistostaan ominaisuuden, joka piilottaa tiedostoja virustorjunnalta ja Windowsin tiedostonhallinnalta. SonyBMG:n rootkit-jupakassa kunnostautuneet F-Secure ja Windows-guru Mark Russinovich saavat Symantecin varoituksessa kiitosta ongelman osoittamisesta.

Symantecin varoituksen mukaan Norton Protected Recycle Bin -ominaisuus on periaatteessa mahdollistanut haittaohjelmien piilottamisen käyttäjältä ja myös virustorjuntaohjelmien ajastetuilta ja manuaalisilta skannauksilta. Ominaisuuden tarkoitus on pitää yllä varmuuskopiota käyttäjän poistamista tiedostoista.

Yhtiö julkaisi päivityksen saatuaan ensin varoituksen ominaisuuteen liittyvistä ongelmista sekä F-Securelta että Sysinternalsin RootkitRevealer-ohjelman kehittäjältä Mark Russinovicilta. Päivitys tekee Nprotect-nimisestä kansiosta normaalisti näkyvän.

Symantecin mukaan kansion piilotuksella pyrittiin estämään käyttäjää poistamasta vahingossa varmuuskopioita, joiden avulla järjestelmästä poistettuja tiedostoja voidaan palauttaa.

F-Securen tutkijat ja Russinovich löysivät lähes samanaikaisesti syksyllä myös SonyBMG:n XCP-kopiosuojauksen kohutun rootkit-ominaisuuden. Russinovich ennätti raportoimaan niistä ensimmäisenä julkisuudessa.

Russinovich sanoo eWeekille pitävänsä huolestuttavana, että kaupallisista ohjelmistoista löytyy rootkitin tapaisia ominaisuuksia. Hän huomauttaa, että toisin kuin Sony BMG:n tapauksessa Nortonin piilotoiminnolla on yritetty auttaa käyttäjää.

F-Securen tutkimusjohtajan Mikko Hyppösen mukaan Symantecin tapauksessa ongelma ei ollut vakavimmasta päästä, mutta hän pitää silti hyvänä asiana, että yhtiö päätti korjata sen. Eweekin mukaan F-Secure sai keväällä vihiä Nortonin piilokansiosta BlackLight-ohjelman käyttäjiltä ja ryhtyi selvittelemään asiaa tarkemmin.

Norton SystemWorks ja SystemWorks Premierin käyttäjät saavat päivityksen automaattisesti tuotteiden LiveUpdate-päivityksenä.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Ampuja keskeytti opinnot ja armeijan

• Poliisi: Ampuja kertoo katuvansa tekojaan
• Pohjois-Korean Kim kävi huvipuistossa ja herkistyi
• Asiantuntija: Punkkipaniikki on jo ylimitoitettua
• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa