Kas ir Rootkit? Kā darbojas Rootkits? Rootkits paskaidroja.

Kaut arī ir iespējams paslēpt ļaunprātīgu programmatūru tādā veidā, ka tiks apmānīti pat tradicionālie pretvīrusu / antispyware produkti, lielākā daļa ļaunprātīgas programmatūras jau izmanto rootkit, lai paslēptu dziļi savā Windows datorā ..! DL3 rootkit ir viens no vismodernākajiem rootkitiem, kādi jebkad redzēti savvaļā. Rootkit bija stabils un varēja inficēt 32 bitu Windows operētājsistēmas; lai gan infekcijas instalēšanai sistēmā bija nepieciešamas administratora tiesības. Bet TDL3 tagad ir atjaunināts un tagad spēj inficēties pat Windows 64 bitu versijas!

Kas ir Rootkit

Rootkit vīruss ir slepens ļaunprātīgas programmatūras veids, kas paredzēts, lai paslēptu noteiktu procesu vai programmu esamību jūsu datorā no parastajām noteikšanas metodēm, lai ļautu tai vai citam ļaunprātīgam procesam priviliģētu piekļuvi jūsu datoram.

Rootkits operētājsistēmai Windows parasti izmanto, lai paslēptu ļaunprātīgu programmatūru no, piemēram, pretvīrusu programmas. Ļaunprātīgiem mērķiem to izmanto vīrusi, tārpi, aizmugurējās durvis un spiegprogrammatūra. Vīruss apvienojumā ar rootkit rada tā sauktos pilnīgos slepenos vīrusus. Sakņu komplekti ir biežāk sastopami spiegprogrammatūru jomā, un tagad tos arvien biežāk izmanto arī vīrusu autori.

Tagad tie ir jauns super spiegprogrammatūras veids, kas efektīvi slēpj un tieši ietekmē operētājsistēmas kodolu. Tie tiek izmantoti, lai slēptu jūsu datorā tādu ļaunprātīgu objektu kā trojas zirgi vai taustiņinstrumenti klātbūtni. Ja draudi izmanto, lai slēptu rootkit tehnoloģiju, datorā ir ļoti grūti atrast ļaunprātīgu programmatūru.

Rootkit pašas par sevi nav bīstamas. To vienīgais mērķis ir slēpt programmatūru un operētājsistēmā atstātās pēdas. Vai tā ir parasta programmatūra vai ļaunprātīgas programmatūras.

Būtībā ir trīs dažādi Rootkit veidi. Pirmais veids, “Kodola saknesParasti pievieno savu kodu operētājsistēmas kodola daļām, bet otrais veids - “Lietotāja režīma saknes”Ir īpaši paredzēti operētājsistēmai Windows, lai sāktu normālu palaišanu sistēmas palaišanas laikā, vai arī tos ievada sistēmā tā sauktais“ pilinātājs ”. Trešais veids ir MBR Rootkits vai Bootkits.

Ja konstatējat, ka jūsu pretvīrusu un antiSpyware programmatūra neizdodas, jums, iespējams, būs jāizmanto laba Anti-Rootkit utilīta. RootkitRevealer no Microsoft Sysinternals ir uzlabota rootkit noteikšanas lietderība. Tās izvadā ir uzskaitītas reģistra un failu sistēmas API neatbilstības, kas var norādīt uz lietotāja vai kodola režīma rootkit klātbūtni.

Microsoft ļaunprātīgas programmatūras aizsardzības centra draudu pārskats par rootkitiem

Microsoft ļaunprātīgas programmatūras aizsardzības centrs ir lejupielādējis savu draudu pārskatu par rootkitiem. Ziņojumā ir apskatīts viens no mānīgākajiem ļaunprogrammatūru veidiem, kas mūsdienās apdraud organizācijas un personas - rootkit. Pārskatā tiek pārbaudīts, kā uzbrucēji izmanto rootkit un kā rootkit darbojas skartajos datoros. Šeit ir ziņojuma būtība, sākot ar to, kas ir Rootkits - iesācējiem.

Rootkit ir rīku kopums, kuru uzbrucējs vai ļaunprātīgas programmatūras veidotājs izmanto, lai iegūtu kontroli pār jebkuru pakļautu / nenodrošinātu sistēmu, kas citādi parasti tiek rezervēta sistēmas administratoram. Pēdējos gados termins “ROOTKIT” vai “ROOTKIT FUNCTIONALITY” ir aizstāts ar MALWARE - programmu, kas izstrādāta, lai radītu nevēlamas sekas veselīgam datoram. Ļaunprātīgas programmatūras galvenā funkcija ir slepeni izņemt vērtīgus datus un citus resursus no lietotāja datora un tos piegādāt uzbrucējam, tādējādi dodot viņam pilnīgu kontroli pār apdraudēto datoru. Turklāt tos ir grūti atklāt un noņemt, un tie var palikt slēpti ilgāku laiku, iespējams, gadus, ja tie netiek pamanīti.

Tātad dabiski, ka kompromitēta datora simptomi ir jāmaskē un jāņem vērā, pirms iznākums izrādās letāls. Jo īpaši, lai atklātu uzbrukumu, jāveic stingrāki drošības pasākumi. Bet, kā jau minēts, pēc šo rootkit / ļaunprogrammatūras instalēšanas tā slepenās iespējas apgrūtina tā un tā iespējamo lejupielādi. Šī iemesla dēļ Microsoft ir izveidojis pārskatu par ROOTKITS.

16 lappušu atskaitē ir aprakstīts, kā uzbrucējs izmanto rootkit un kā šie rootkit darbojas ietekmētajos datoros.

Ziņojuma vienīgais mērķis ir identificēt un rūpīgi izpētīt spēcīgu ļaunprātīgu programmatūru, kas apdraud daudzas organizācijas, it īpaši datoru lietotājus. Tajā ir pieminētas arī dažas izplatītās ļaunprogrammatūru saimes un izgaismota metode, kuru uzbrucēji izmanto, lai instalētu šos sakņu paketus savtīgiem mērķiem veselīgās sistēmās. Pārējā ziņojuma daļā atradīsit ekspertus, kas sniegs dažus ieteikumus, lai palīdzētu lietotājiem mazināt rootkit draudu radītos draudus.

Rootkit komplektu veidi

Ir daudz vietu, kur ļaunprātīga programmatūra var instalēt sevi operētājsistēmā. Tātad, galvenokārt rootkit tipu nosaka tā atrašanās vieta, kur tā izpilda ceļu. Tas iekļauj:

1. Lietotāja režīma saknes
2. Kodola režīma saknes
3. MBR rootkit / bootkits

Kodola režīma rootkit kompromisa iespējamā ietekme ir parādīta, izmantojot zemāk redzamo ekrānuzņēmumu.

Trešais veids - modificējiet galveno sāknēšanas ierakstu, lai iegūtu kontroli pār sistēmu un sāktu pēc iespējas agrāku sāknēšanas secības ielādi3. Tas slēpj failus, reģistra modifikācijas, pierādījumus par tīkla savienojumiem, kā arī citus iespējamos rādītājus, kas var norādīt uz tā klātbūtni.

Ievērojamas ļaunprogrammatūru saimes, kas izmanto Rootkit funkcionalitāti

• Win32 / Sinowal13 - daudzkomponentu ļaunprātīgas programmatūras saime, kas mēģina nozagt sensitīvus datus, piemēram, dažādu sistēmu lietotāju vārdus un paroles. Tas ietver mēģinājumus nozagt detalizētu autentifikācijas informāciju dažādiem FTP, HTTP un e-pasta kontiem, kā arī akreditācijas datus, kas tiek izmantoti tiešsaistes bankām un citiem finanšu darījumiem.
• Win32 / Cutwail15 - Trojas zirgs, kas lejupielādē un izpilda patvaļīgus failus. Lejupielādētos failus var izpildīt no diska vai ievadīt tieši citos procesos. Lai gan lejupielādēto failu funkcionalitāte ir mainīga, Cutwail parasti lejupielādē citus komponentus, kas nosūta surogātpastu. Tas izmanto kodola režīma rootkit un instalē vairākus ierīču draiverus, lai paslēptu tā komponentus no skartajiem lietotājiem.
• Win32 / Rustoks - Daudzkomponentu rootkit trojas zirgu grupa, kas sākotnēji tika izstrādāta, lai palīdzētu “surogātpasta” e-pasta izplatīšanā, izmantojot robottīkls. Botnet ir liels uzbrucēju kontrolēts kompromitētu datoru tīkls.

Aizsardzība pret rootkitiem

Sakņu komplektu instalēšanas novēršana ir visefektīvākā metode, lai izvairītos no inficēšanās ar rootkitiem. Šim nolūkam ir jāiegulda aizsardzības tehnoloģijās, piemēram, pretvīrusu un ugunsmūra produktos. Šādiem produktiem ir jāpieņem visaptveroša pieeja aizsardzībai, izmantojot tradicionālo uz parakstu balstītu noteikšanu, heiristisko noteikšanu, dinamiskas un atsaucīgas paraksta iespējas un uzvedības uzraudzību.

Visas šīs parakstu kopas jāatjaunina, izmantojot automatizētu atjaunināšanas mehānismu. Microsoft antivīrusu risinājumi ietver vairākas tehnoloģijas, kas īpaši izstrādātas, lai mazinātu rootkitus, tostarp tiešraides kodola darbības uzraudzība, kas nosaka un ziņo par mēģinājumiem modificēt ietekmētās sistēmas kodolu, un tieša failu sistēmas parsēšana, kas atvieglo slēpto draiveru identificēšanu un noņemšanu.

Ja tiek konstatēts, ka sistēma ir apdraudēta, papildu rīks, kas ļauj palaist zināmā labā vai uzticamā vidē, var izrādīties noderīgs, jo tas var ieteikt dažus atbilstošus sanācijas pasākumus.

Tādos apstākļos,

1. Rīks Standalone System Sweeper (daļa no Microsoft diagnostikas un atkopšanas rīku kopas (DaRT)
2. Windows Defender bezsaistē var būt noderīga.

Lai iegūtu papildinformāciju, varat lejupielādēt PDF pārskatu no Microsoft lejupielādes centra.