Hvad er Rootkit? Hvordan fungerer Rootkits? Rootkits forklaret.

Mens det er muligt at skjule malware på en måde, der vil narre selv de traditionelle antivirus / antispyware-produkter, bruger de fleste malware-programmer allerede rootkits til at skjule sig dybt på din Windows-pc ... og de bliver mere farlige! DL3 rootkit er et af de mest avancerede rootkits, der nogensinde er set i naturen. Rootsættet var stabilt og kunne inficere 32 bit Windows-operativsystemer; selvom administratorrettigheder var nødvendige for at installere infektionen i systemet. Men TDL3 er nu blevet opdateret og er nu i stand til at inficere selv 64-bit versioner Windows!

Hvad er Rootkit

En Rootkit-virus er en stealth-type malware, der er designet til at skjule eksistensen af ​​visse processer eller programmer på din computer fra regelmæssige detektionsmetoder, således at den eller en anden ondsindet proces har privilegeret adgang til din computer.

Rootkits til Windows bruges typisk til at skjule ondsindet software fra for eksempel et antivirusprogram. Det bruges til ondsindede formål af vira, orme, bagdøre og spyware. En virus kombineret med et rootkit producerer såkaldte full stealth-vira. Rootkits er mere almindelige inden for spywarefeltet, og de bliver nu også mere almindeligt brugt af virusforfattere.

De er nu en voksende type Super Spyware, der skjuler effektivt og påvirker operativsystemets kerne direkte. De bruges til at skjule tilstedeværelsen af ​​ondsindede genstande som trojanske heste eller keyloggers på din computer. Hvis en trussel bruger rootkit-teknologi til at skjule, er det meget svært at finde malware på din pc.

Rootkits i sig selv er ikke farlige. Deres eneste formål er at skjule software og de spor, der er efterladt i operativsystemet. Uanset om dette er normal software eller malware-programmer.

Der er grundlæggende tre forskellige typer Rootkit. Den første type, “Kernel rootkits”Tilføjer normalt deres egen kode til dele af operativsystemets kerne, mens den anden slags,“Rootkits til brugertilstand”Er specielt målrettet mod Windows til at starte normalt under systemstart eller injiceres i systemet af en såkaldt“ Dropper ”. Den tredje type er MBR Rootkits eller Bootkits.

Når du finder ud af, at din AntiVirus & AntiSpyware ikke fungerer, skal du muligvis tage hjælp fra en godt Anti-Rootkit-værktøj. RootkitRevealer fra Microsoft Sysinternals er et avanceret rootkit-opdagelsesværktøj. Dens output lister afvigelser i registreringsdatabasen og filsystemets API, der kan indikere tilstedeværelsen af ​​en brugertilstand eller kerne-tilstands rootkit.

Trusselsrapport om Microsoft Malware Protection Center om rootkits

Microsoft Malware Protection Center har stillet sin trusselrapport om rootkits til rådighed til download. Rapporten undersøger en af ​​de mere snigende typer malware, der truer organisationer og enkeltpersoner i dag - rootkit. Rapporten undersøger, hvordan angribere bruger rootkits, og hvordan rootkits fungerer på berørte computere. Her er en kerne af rapporten, der starter med, hvad der er Rootkits - for begynderen.

Rootkit er et sæt værktøjer, som en angriber eller en malware-skaber bruger til at få kontrol over ethvert udsat / usikret system, som ellers normalt er forbeholdt en systemadministrator. I de senere år er udtrykket 'ROOTKIT' eller 'ROOTKIT FUNCTIONALITY' blevet erstattet af MALWARE - et program designet til at have uønskede virkninger på en sund computer. Malwares primære funktion er at hente værdifulde data og andre ressourcer fra en brugers computer i hemmelighed og give dem til angriberen og derved give ham fuld kontrol over den kompromitterede computer. Desuden er de vanskelige at opdage og fjerne og kan forblive skjulte i længere perioder, muligvis år, hvis de går ubemærket hen.

Så naturligvis skal symptomerne på en kompromitteret computer maskeres og tages i betragtning, før resultatet viser sig at være fatalt. Især bør der træffes strengere sikkerhedsforanstaltninger for at afdække angrebet. Men som nævnt, når disse rootkits / malware er installeret, gør dens stealth-funktioner det vanskeligt at fjerne det og dets komponenter, som det kan downloade. Af denne grund har Microsoft oprettet en rapport om ROOTKITS.

Rapporten på 16 sider skitserer, hvordan en hacker bruger rootkits, og hvordan disse rootkits fungerer på berørte computere.

Det eneste formål med rapporten er at identificere og nøje undersøge potent malware, der truer mange organisationer, især computerbrugere. Den nævner også nogle af de udbredte malware-familier og bringer den metode, som angriberne bruger til at installere disse rootkits til deres egne egoistiske formål på sunde systemer, frem i lyset. I den resterende del af rapporten finder du eksperter, der fremsætter nogle anbefalinger for at hjælpe brugerne med at afbøde truslen fra rootkits.

Typer af rodsæt

Der er mange steder, hvor malware kan installere sig selv i et operativsystem. Så for det meste bestemmes typen af ​​rootkit af dens placering, hvor den udfører sin undergravning af eksekveringsstien. Dette inkluderer:

1. Rootkits til brugertilstand
2. Kernel Mode rodsæt
3. MBR rootkits / bootkits

Den mulige virkning af et rootkit-kompromis med kernetilstand illustreres via et skærmbillede nedenfor.

Den tredje type, ændre Master Boot Record for at få kontrol over systemet og starte processen med at indlæse det tidligst mulige punkt i boot-sekvensen3. Det skjuler filer, ændringer i registreringsdatabasen, dokumentation for netværksforbindelser samt andre mulige indikatorer, der kan indikere dets tilstedeværelse.

Bemærkelsesværdige malware-familier, der bruger Rootkit-funktionalitet

• Win32 / Sinowal13 - En multikomponentfamilie af malware, der forsøger at stjæle følsomme data såsom brugernavne og adgangskoder til forskellige systemer. Dette inkluderer forsøg på at stjæle godkendelsesoplysninger for en række FTP-, HTTP- og e-mail-konti samt legitimationsoplysninger, der bruges til onlinebank og andre finansielle transaktioner.
• Win32 / Cutwail15 - En trojan, der downloader og udfører vilkårlige filer. De downloadede filer kan udføres fra disken eller injiceres direkte i andre processer. Mens funktionerne i de downloadede filer er variable, downloader Cutwail normalt andre komponenter, der sender spam. Det bruger en kerneknap-rootkit og installerer flere enhedsdrivere for at skjule dens komponenter fra berørte brugere.
• Win32 / Rustock - En flerkomponentfamilie med rootkit-aktiverede bagdør-trojanske heste oprindeligt udviklet til at hjælpe med distributionen af ​​"spam" e-mail via en botnet. Et botnet er et stort angriberstyret netværk af kompromitterede computere.

Beskyttelse mod rodkits

Forebyggelse af installation af rootkits er den mest effektive metode til at undgå infektion med rootkits. Til dette er det nødvendigt at investere i beskyttende teknologier såsom antivirus- og firewallprodukter. Sådanne produkter bør tage en omfattende tilgang til beskyttelse ved hjælp af traditionel signaturbaseret detektion, heuristisk detektion, dynamisk og responsiv signaturfunktion og adfærdsmonitorering.

Alle disse signatur sæt skal holdes ajour ved hjælp af en automatisk opdateringsmekanisme. Microsofts antivirusløsninger inkluderer en række teknologier designet specielt til at afbøde rootkits, herunder overvågning af live-kerneadfærd, der registrerer og rapporterer om forsøg på at ændre et berørt systems kerne, og direkte filsystem-parsing, der letter identifikation og fjernelse af skjulte drivere.

Hvis et system er fundet kompromitteret, kan et ekstra værktøj, der giver dig mulighed for at starte til et kendt godt eller betroet miljø, vise sig nyttigt, da det kan foreslå nogle passende afhjælpningsforanstaltninger.

Under sådanne omstændigheder,

1. Det uafhængige systemfejerværktøj (del af Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline kan være nyttigt.

For mere information kan du downloade PDF-rapporten fra Microsoft Download Center.