В софтверной индустрии продолжают расходиться круги от кошмарного скандала, связанного с использованием антипиратской руткит-технологии XCP и испортившего музыкальному лейблу Sony BMG всю предновогоднюю торговлю (см. «КТ» ##614—616). Скандал и правда получился громким и вызвал у публики повышенный интерес к программам обнаружения руткитов — RootkitRevealer американца Марка Руссиновича (Mark Russinovich) и BlackLight финской компании F-Secure. Иначе говоря, народ поспешил обзавестись инструментами для более тщательного анализа «богатой внутренней жизни» своих компьютеров, а первыми пострадавшими от этого порыва стали Symantec и Лаборатория Касперского, в чьих продуктах обнаружились руткит-подобные элементы.

Явно памятуя о пиар-катастрофе, постигшей Sony BMG вследствие запоздалой и неадекватной реакции, Symantec сразу признала, что в ее программе Norton SystemWorks действительно применяется похожая технология (разумеется, только в благих целях — таким способом файлы прячутся в специальной папке, невидимой для пользователей, администратора и операционной системы, ради более надежного резервного копирования уничтоженных файлов в «защищенной корзине» — Protected Recycle Bin). Правда, объекты в скрытой папке также оказываются недоступны как для плановых автоматических, так и для проводимых вручную антивирусных сканирований. А это, признает Symantec, может предоставить злоумышленнику удобную площадку для сокрытия злонамеренных кодов. И хотя атаки такого рода пока не зафиксированы, в Symantec решили не дожидаться неприятностей и выпустили патч, снимающий маскировку «защищенной корзины» от операционной системы.

Основное различие между руткитами Symantec и Sony, говорит глава антивирусной фирмы F-Secure Микко Хиппонен (Mikko Hyppоnen), не столько техническое, сколько идеологическое. Руткит Symantec — это элемент документированной полезной функции, которую по желанию пользователя можно включить-выключить или вообще удалить из системы, а для руткита Sony ничего подобного предусмотрено не было.