Hva er Rootkit? Hvordan fungerer Rootkits? Rootkits forklart.

Selv om det er mulig å skjule skadelig programvare på en måte som vil lure til og med de tradisjonelle antivirus- / antispionproduktene, bruker de fleste skadeprogrammer allerede rootkits til å gjemme seg dypt på din Windows-PC ... og de blir farligere! DL3 rootkit er et av de mest avanserte rootkits som noen gang har blitt sett i naturen. Rootsettet var stabilt og kunne infisere 32-biters Windows-operativsystemer; selv om administratorrettigheter var nødvendige for å installere infeksjonen i systemet. Men TDL3 er nå oppdatert og kan nå smitte til og med 64-biters versjoner Windows!

Hva er Rootkit

Et Rootkit-virus er en skjult type skadelig programvare som er designet for å skjule eksistensen av visse prosesser eller programmer på datamaskinen din fra vanlige gjenkjenningsmetoder, slik at den eller en annen ondsinnet prosess har privilegert tilgang til datamaskinen din.

Rootkits for Windows brukes vanligvis til å skjule skadelig programvare fra for eksempel et antivirusprogram. Den brukes til ondsinnede formål av virus, ormer, bakdører og spionprogramvare. Et virus kombinert med et rootkit produserer det som kalles fullstealth-virus. Rootkits er mer vanlig i spyware-feltet, og de blir nå også oftere brukt av virusforfattere.

De er nå en nye type Super Spyware som gjemmer seg effektivt og påvirker operativsystemets kjerne direkte. De brukes til å skjule tilstedeværelsen av ondsinnede gjenstander som trojanere eller nøkkelloggere på datamaskinen din. Hvis en trussel bruker rootkit-teknologi for å skjule, er det veldig vanskelig å finne skadelig programvare på PC-en din.

Rootkits i seg selv er ikke farlige. Deres eneste formål er å skjule programvare og sporene som er igjen i operativsystemet. Enten dette er vanlig programvare eller skadelig programvare.

Det er i utgangspunktet tre forskjellige typer Rootkit. Den første typen, “Kernel Rootkits"Legger vanligvis til sin egen kode til deler av operativsystemkjernen, mens den andre typen,"Brukermodus rootkits”Er spesielt rettet mot Windows for å starte opp normalt under oppstart av systemet, eller injiseres i systemet av en såkalt“ Dropper ”. Den tredje typen er MBR Rootkits eller Bootkits.

Når du opplever at AntiVirus og AntiSpyware mislykkes, kan det hende du må ta hjelp av a godt Anti-Rootkit-verktøy. RootkitRevealer fra Microsoft Sysinternals er et avansert verktøy for gjenkjenning av rootkit. Utdataene viser avvik fra register- og filsystem-API som kan indikere tilstedeværelsen av en brukermodus eller kjernemodus rootkit.

Microsofts malware beskyttelsessenter trusselrapport om rootkits

Microsoft Malware Protection Center har gjort tilgjengelig for nedlasting av sin trusselrapport om rootkits. Rapporten undersøker en av de mer snikende typene skadelig programvare som truer organisasjoner og enkeltpersoner i dag - rootkit. Rapporten undersøker hvordan angripere bruker rootkits, og hvordan rootkits fungerer på berørte datamaskiner. Her er en kjerne av rapporten, som begynner med hva som er Rootkits - for nybegynnere.

Rootkit er et sett med verktøy som en angriper eller en malwareoppretter bruker for å få kontroll over ethvert eksponert / usikret system som ellers er forbeholdt en systemadministrator. I de siste årene har begrepet 'ROOTKIT' eller 'ROOTKIT FUNCTIONALITY' blitt erstattet av MALWARE - et program designet for å ha uønskede effekter på en sunn datamaskin. Malwares viktigste funksjon er å trekke verdifulle data og andre ressurser fra en brukers datamaskin i hemmelighet og gi dem til angriperen, og dermed gi ham full kontroll over den kompromitterte datamaskinen. Videre er de vanskelige å oppdage og fjerne og kan forbli skjulte i lengre perioder, muligens år, hvis de blir ubemerket.

Så naturlig, må symptomene på en kompromittert datamaskin maskeres og tas i betraktning før utfallet viser seg å være dødelig. Spesielt bør det tas strengere sikkerhetstiltak for å avdekke angrepet. Men, som nevnt, når disse rootkits / malware er installert, gjør dens skjult evner det vanskelig å fjerne det og dets komponenter som det kan laste ned. Av denne grunn har Microsoft opprettet en rapport om ROOTKITS.

Rapporten på 16 sider skisserer hvordan en angriper bruker rootkits og hvordan disse rootkits fungerer på berørte datamaskiner.

Hensikten med rapporten er å identifisere og undersøke potent skadelig programvare som truer mange organisasjoner, spesielt databrukere. Den nevner også noen av de vanlige skadelige familiene og viser metoden angriperne bruker for å installere disse rootkits for sine egne egoistiske formål på sunne systemer. I resten av rapporten finner du eksperter som gir noen anbefalinger for å hjelpe brukere med å redusere trusselen fra rootkits.

Typer rootkits

Det er mange steder hvor skadelig programvare kan installere seg selv i et operativsystem. Så, hovedsakelig typen rootkit bestemmes av plasseringen der den utfører sin undergraving av kjøringsbanen. Dette inkluderer:

1. User Mode Rootkits
2. Kjernemodus rootkits
3. MBR rootkits / bootkits

Den mulige effekten av et rootkit-kompromiss i kjernemodus illustreres via et skjermbilde nedenfor.

Den tredje typen, modifiser Master Boot Record for å få kontroll over systemet og starte prosessen med å laste inn et så tidlig punkt som mulig i oppstartssekvensen3. Den skjuler filer, registerendringer, bevis på nettverkstilkoblinger samt andre mulige indikatorer som kan indikere dets tilstedeværelse.

Merkbare skadelige familier som bruker Rootkit-funksjonalitet

• Win32 / Sinowal13 - En flerkomponentfamilie med skadelig programvare som prøver å stjele sensitive data som brukernavn og passord for forskjellige systemer. Dette inkluderer forsøk på å stjele autentiseringsdetaljer for en rekke FTP-, HTTP- og e-postkontoer, samt legitimasjon som brukes til nettbank og andre finansielle transaksjoner.
• Win32 / Cutwail15 - En trojan som laster ned og utfører vilkårlige filer. De nedlastede filene kan kjøres fra disken eller injiseres direkte i andre prosesser. Mens funksjonaliteten til de nedlastede filene er variabel, laster Cutwail vanligvis ned andre komponenter som sender spam. Den bruker en rootkit i kjernemodus og installerer flere enhetsdrivere for å skjule komponentene for berørte brukere.
• Win32 / Rustock - En familie med flere komponenter av rootkit-aktiverte bakdyr trojanere utviklet seg opprinnelig for å hjelpe til med distribusjon av "spam" e-post via en botnet. Et botnet er et stort angriperstyrt nettverk av kompromitterte datamaskiner.

Beskyttelse mot rootkits

Å forhindre installasjon av rootkits er den mest effektive metoden for å unngå infeksjon av rootkits. For dette er det nødvendig å investere i beskyttende teknologier som antivirus- og brannmurprodukter. Slike produkter bør ta en omfattende tilnærming til beskyttelse ved å bruke tradisjonell signaturbasert deteksjon, heuristisk deteksjon, dynamisk og responsiv signaturevne og atferdsmessig overvåking.

Alle disse signatursettene bør holdes oppdatert ved hjelp av en automatisk oppdateringsmekanisme. Microsofts antivirusløsninger inkluderer en rekke teknologier designet spesielt for å redusere rootkits, inkludert overvåking av live-kjerneadferd som oppdager og rapporterer om forsøk på å modifisere et berørt systems kjerne, og direkte filsystem-parsing som letter identifisering og fjerning av skjulte drivere.

Hvis et system blir funnet kompromittert, kan et ekstra verktøy som lar deg starte opp til et kjent godt eller klarert miljø vise seg å være nyttig, da det kan foreslå noen passende utbedringstiltak.

Under slike omstendigheter,

1. Det frittstående systemfeierverktøyet (del av Microsoft Diagnostics and Recovery Toolset (DaRT))
2. Windows Defender Offline kan være nyttig.

For mer informasjon kan du laste ned PDF-rapporten fra Microsoft Download Center.