В последнее время широкий резонанс в СМИ начинает получать сообщение эксперта в области компьютерной безопасности Марка Руссиновича об использовании rootkit-технологий в антивирусных продуктах «Лаборатории Касперского».
Он считает, что «Лаборатория Касперского» использует некоторые особенности rootkit-технологий в своих продуктах. «Лаборатория Касперского» сообщает, что технология iStreams, используемая в Антивирусе Касперского, не может быть применена злоумышленниками с целью нанесения вреда пользователям, у которых установлен данный продукт, и использование термина «rootkit» для ее описания не является корректным.
Данная технология впервые была представлена в пятой версии антивирусных продуктов «Лаборатории Касперского» два года назад. iStreams позволяет повышать производительность процесса сканирования на компьютере пользователя за счет использования альтернативных потоков данных NTFS для хранения данных о контрольных суммах файлов в системе пользователя. Если контрольная сумма файла остается неизменной со времени последнего сканирования, антивирусная программа понимает, что никаких действий с файлом не производилось и повторное сканирование осуществлять не нужно.
Для просмотра альтернативных потоков данных NTFS требуются специальные программы. Тот факт, что эти потоки данных не являются видимыми в автоматическом режиме, не означает, что технология, их использующая, является вредоносной.
По мнению экспертов «Лаборатории Касперского», технология iStreams не содержит в себе rootkit, позволяющий злоумышленнику нанести вред компьютерам пользователей. Если Антивирус Касперского активен, потоки скрыты и к ним нет доступа со стороны любых процессов, включая системные. Если продукт отключен, то потоки становятся видимыми при помощи специальных программ. Если поток перезаписан какими-либо (возможно, вредоносными) данными (например, после перезагрузки компьютера в безопасном режиме), то в момент следующей перезагрузки системы Антивирус Касперского при чтении потока не распознает формат и начинает формирование базы данных контрольных сумм файлов заново. Таким образом, вредоносные данные уничтожаются.
