Сотрудники лаборатории Microsoft Research
совместно с исследователями из
Мичиганского университета создали
принципиально новый руткит, который
практически не поддается обнаружению при
помощи стандартных инструментов.
Концептуальный руткит Microsoft получил
название SubVirt.
На компьютер SubVirt проникает через
известные дыры в современных операционных
системах и затем создает так называемый
монитор виртуальных машин (Virtual Machine Monitor, VMM)
под инсталляцией Windows или Linux.
Детектирование и устранение такого руткита
сильно затруднено, поскольку все
запущенные программы SubVirt берет под свой
контроль. Иными словами, антивирусное
программное обеспечение просто-напросто не
может распознать тот факт, что операционная
система была превращена в виртуальную
машину. При помощи SubVirt теоретически можно
организовывать фишинг-атаки, шпионить за
пользователями и пр. Демонстрация
возможностей SubVirt, как ожидается, будет
проведена в рамках Симпозиума IEEE по
вопросам безопасности в текущем году.
