Na het debacle vorig jaar met de rootkit van Sony, is er nu weer een nieuwe rootkit aan het licht gekomen, dit keer in de software van anti-virusbedrijf Symantec.

Symantec had een soort van rootkit in haar SystemWorks pakket geïmplementeerd om een aantal Windows APIs te verbergen. Aan de ene kant om te voorkomen dat de gebruiker de bestanden perongeluk zou verwijderen en aan de andere kant om de map aan het zicht van de Windows API’s te ontrekken en zo te voorkomen dat de map gescand zou worden door de virusscanner

De feature in SystemWorks, waarom het allemaal ging, was de zogenaamde Norton Protected Recycle Bin. Deze feature op de schijf bevat een map genaamd NProtect die voor Windows. Deze map is dus onzichtbaar gemaakt en wordt dus ook niet gescand.

Er bestond echter ook een mogelijkheid voor crackers om deze ‘rootkit’ te miscbruiken om controle te krijgen over een computer. Volgens Symantec was het risico hierop echter te verwaarlozen, maar door alle aandacht rond Sony’s rootkit besloot het bedrijf toch om een patch uit te brengen.

Veiligheidsexperts zijn niet blij met dergelijke ontwikkelingen. "Ik zie steeds vaker dat commerciële bedrijven in hun software bepaalde dingen verstoppen op plaatsen waar ze een gevaar kunnen vormen. Ook al zijn de bedoelingen van het verbergen goede bedoelingen, is het vrijwel ondoenlijk om de veiligheid van de computer te beheren, aangezien de gebruiker daar niet meer de controle over heeft", aldus Mark Russinovich die net als deze rootkit ook al de Sony rootkit ontdekte.

Mensen die met SystemWorks werken kunnen een patch downloaden op de site van Symantec

Wij bedanken rikadoo en Donenzone voor het insturen van deze tip!