Chociaż możliwe jest ukrycie złośliwego oprogramowania w sposób, który oszuka nawet tradycyjne produkty antywirusowe/antyspyware, większość złośliwych programów już używa rootkitów do ukrywania się głęboko na komputerze z systemem Windows^(Windows) … i stają się one coraz bardziej niebezpieczne! Rootkit DL3 jest jednym z najbardziej zaawansowanych rootkitów, jakie kiedykolwiek widziano na wolności. Rootkit był stabilny i mógł infekować 32-bitowe systemy operacyjne Windows ; chociaż do zainstalowania infekcji w systemie potrzebne były uprawnienia administratora. Ale TDL3 został teraz zaktualizowany i jest teraz w stanie infekować nawet 64-bitowe wersje systemu Windows^{(even 64-bit versions  Windows)} !

Co to jest rootkit

Wirus typu rootkit to ukryty rodzaj złośliwego oprogramowania  , którego celem jest ukrycie istnienia pewnych procesów lub programów na komputerze przed zwykłymi metodami wykrywania, aby umożliwić mu lub innemu złośliwemu procesowi uprzywilejowany dostęp do komputera.

Rootkity dla systemu Windows^{(Rootkits for Windows)} są zwykle używane do ukrywania złośliwego oprogramowania, na przykład przed programem antywirusowym. Jest używany do złośliwych celów przez wirusy, robaki, tylne drzwi i oprogramowanie szpiegujące. Wirus w połączeniu z rootkitem tworzy tak zwane wirusy w pełni ukrywające się. Rootkity są częstsze w dziedzinie programów szpiegujących, a teraz są również coraz częściej wykorzystywane przez autorów wirusów.

Są teraz nowym typem Super Spyware , który skutecznie ukrywa i bezpośrednio wpływa na jądro systemu operacyjnego. Służą do ukrywania obecności na komputerze złośliwego obiektu, takiego jak trojany lub keyloggery. Jeśli zagrożenie wykorzystuje technologię rootkit do ukrycia, bardzo trudno jest znaleźć złośliwe oprogramowanie na komputerze.

Rootkity same w sobie nie są niebezpieczne. Ich jedynym celem jest ukrycie oprogramowania i śladów pozostawionych w systemie operacyjnym. Niezależnie od tego, czy jest to normalne oprogramowanie, czy złośliwe oprogramowanie.

Zasadniczo istnieją trzy różne typy rootkitów^(Rootkit) . Pierwszy rodzaj, rootkity jądra^{(Kernel Rootkits)} , zwykle dodają własny kod do części jądra systemu operacyjnego, podczas gdy drugi rodzaj, rootkity trybu użytkownika,^{(User-mode Rootkits)} są specjalnie przeznaczone dla systemu Windows^(Windows) w celu normalnego uruchomienia podczas uruchamiania systemu. lub wstrzykiwany do systemu za pomocą tzw. „Zakraplacza”. Trzeci typ to rootkity MBR lub bootkity^{(MBR Rootkits or Bootkits)} .

Gdy zauważysz, że oprogramowanie antywirusowe^(AntiVirus) i antyszpiegowskie przestaje^{(AntiSpyware)} działać, może być konieczne skorzystanie z pomocy dobrego narzędzia anty-rootkit^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} . RootkitRevealer firmy Microsoft Sysinternals to zaawansowane narzędzie do wykrywania rootkitów. Jego dane wyjściowe zawierają listę rozbieżności API rejestru^(Registry) i systemu plików, które mogą wskazywać na obecność rootkita w trybie użytkownika lub w trybie jądra.

Raport o zagrożeniach Centrum ochrony przed złośliwym oprogramowaniem firmy Microsoft^{(Microsoft Malware Protection Center Threat Report)} dotyczący  rootkitów^(Rootkits)

Centrum ochrony przed złośliwym oprogramowaniem firmy Microsoft^{(Microsoft Malware Protection Center)} udostępniło do pobrania raport o zagrożeniach^{(Threat Report)} dotyczących rootkitów^(Rootkits) . Raport analizuje jeden z bardziej podstępnych rodzajów złośliwego oprogramowania zagrażającego współczesnym organizacjom i osobom — rootkit. Raport analizuje, w jaki sposób atakujący używają rootkitów i jak rootkity działają na zagrożonych komputerach. Oto sedno raportu, zaczynając od tego, czym są rootkity^(Rootkits) – dla początkujących.

Rootkit to zestaw narzędzi, których napastnik lub twórca złośliwego oprogramowania używa do przejęcia kontroli nad dowolnym odsłoniętym/niezabezpieczonym systemem, który normalnie jest zarezerwowany dla administratora systemu. W ostatnich latach termin „ROOTKIT” lub „ROOTKIT FUNKCJONALNOŚĆ” został zastąpiony przez MALWARE – program zaprojektowany, aby mieć niepożądane skutki na zdrowym komputerze. Podstawową funkcją złośliwego oprogramowania jest potajemne pobieranie cennych danych i innych zasobów z komputera użytkownika i udostępnianie ich atakującemu, dając mu w ten sposób pełną kontrolę nad zaatakowanym komputerem. Co więcej, są one trudne do wykrycia i usunięcia i mogą pozostać ukryte przez dłuższy czas, a nawet lata, jeśli nie zostaną zauważone.

Tak więc naturalnie objawy zhakowanego komputera należy zamaskować i wziąć pod uwagę, zanim wynik okaże się śmiertelny. W szczególności należy podjąć bardziej rygorystyczne środki bezpieczeństwa w celu wykrycia ataku. Ale, jak wspomniano, po zainstalowaniu tych rootkitów/złośliwego oprogramowania, jego możliwości ukrywania się utrudniają usunięcie go i jego komponentów, które może pobrać. Z tego powodu Microsoft stworzył raport na temat ROOTKITS .

W 16-stronicowym raporcie opisano, w jaki sposób osoba atakująca wykorzystuje rootkity i jak te rootkity działają na zagrożonych komputerach.

Jedynym celem raportu jest identyfikacja i dokładne zbadanie potencjalnego złośliwego oprogramowania zagrażającego wielu organizacjom, w szczególności użytkownikom komputerów. Wspomina również o niektórych rozpowszechnionych rodzinach złośliwego oprogramowania i ukazuje metodę, której atakujący używają do instalowania tych rootkitów do własnych, egoistycznych celów na zdrowych systemach. W pozostałej części raportu eksperci przedstawią zalecenia, które pomogą użytkownikom ograniczyć zagrożenie ze strony rootkitów.

Rodzaje rootkitów

Istnieje wiele miejsc, w których złośliwe oprogramowanie może zainstalować się w systemie operacyjnym. Tak więc najczęściej typ rootkita jest określany przez jego lokalizację, w której wykonuje on swoją zmianę ścieżki wykonania. To zawiera:

1. Rootkity w trybie użytkownika
2. Rootkity w trybie jądra
3. Rootkity/bootkity MBR

Możliwy wpływ narażenia rootkita w trybie jądra jest zilustrowany na poniższym zrzucie ekranu.

Trzeci typ, zmodyfikuj główny rekord rozruchowy^{(Master Boot Record)} , aby przejąć kontrolę nad systemem i rozpocząć proces ładowania najwcześniejszego możliwego punktu w sekwencji rozruchowej3. Ukrywa pliki, modyfikacje rejestru, dowody połączeń sieciowych, a także inne możliwe wskaźniki, które mogą wskazywać na jego obecność.

Znane rodziny złośliwego oprogramowania^(Malware) , które wykorzystują funkcjonalność rootkita^(Rootkit)

• Win32/Sinowal 13 — wieloskładnikowa rodzina złośliwego oprogramowania, które próbuje ukraść poufne dane, takie jak nazwy użytkowników i hasła do różnych systemów. Obejmuje to próby kradzieży danych uwierzytelniających dla różnych kont FTP , HTTP i e-mail, a także danych uwierzytelniających używanych do bankowości internetowej i innych transakcji finansowych.
• Win32/Cutwail 15 — trojan , który pobiera i uruchamia dowolne pliki. Pobrane pliki mogą być wykonywane z dysku lub wstrzykiwane bezpośrednio do innych procesów. Chociaż funkcjonalność pobieranych plików jest zmienna, Cutwail zwykle pobiera inne komponenty, które wysyłają spam. Używa rootkita w trybie jądra i instaluje kilka sterowników urządzeń, aby ukryć jego komponenty przed dotkniętymi użytkownikami.
• Win32/Rustock  — wieloskładnikowa rodzina trojanów^(Trojans) typu backdoor obsługujących rootkity, początkowo opracowana w celu pomocy w rozpowszechnianiu wiadomości e-mail ze „spamem” za pośrednictwem botnetu^(botnet) . Botnet to duża, kontrolowana przez atakującego sieć zhakowanych komputerów.

Ochrona przed rootkitami

Zapobieganie instalacji rootkitów jest najskuteczniejszą metodą uniknięcia infekcji rootkitami. W tym celu konieczne jest zainwestowanie w technologie ochronne, takie jak produkty antywirusowe i zapory ogniowe. Takie produkty powinny przyjąć kompleksowe podejście do ochrony, wykorzystując tradycyjne wykrywanie oparte na sygnaturach, wykrywanie heurystyczne, dynamiczne i responsywne możliwości sygnatur oraz monitorowanie zachowania.

Wszystkie te zestawy podpisów powinny być aktualizowane za pomocą automatycznego mechanizmu aktualizacji. Rozwiązania antywirusowe firmy Microsoft^(Microsoft) obejmują szereg technologii zaprojektowanych specjalnie w celu łagodzenia skutków rootkitów, w tym monitorowanie zachowania aktywnego jądra, które wykrywa i raportuje próby modyfikacji jądra systemu, którego dotyczy luka, oraz bezpośrednie analizowanie systemu plików, które ułatwia identyfikację i usuwanie ukrytych sterowników.

Jeśli system zostanie zhakowany, przydatne może okazać się dodatkowe narzędzie, które umożliwia uruchomienie w znanym dobrym lub zaufanym środowisku, ponieważ może zasugerować odpowiednie środki zaradcze.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

W takich okolicznościach

1. Samodzielne narzędzie do czyszczenia systemu^{(Standalone System Sweeper)} (część zestawu narzędzi Microsoft Diagnostics and Recovery Toolset ( DaRT )
2. Windows Defender Offline może być przydatny.

Aby uzyskać więcej informacji, możesz pobrać raport PDF z ^(PDF)Microsoft Download Center.

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is possible to hide malware in a waу that will fool even the trаditional antivіrus/antispyware products, most malware progrаms are already using rootkits to hide deep on your Windows PC … and they are getting more dangerous! The DL3 rootkit is one of the most advanced rootkits ever seen in the wild. The rootkit was stable and could infect 32 bit Windowѕ operating systems; althоugh administrator rights werе needed to install the infection in the system. But TDL3 has now been updatеd and is now able to infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Jak uniknąć oszustw i ataków typu phishing?

• Co to jest trojan zdalnego dostępu? Zapobieganie, wykrywanie i usuwanie

• Usuń wirusa z dysku flash USB za pomocą wiersza polecenia lub pliku wsadowego

• Fałszywe oprogramowanie zabezpieczające lub Scareware: Jak sprawdzać, zapobiegać, usuwać?

• Co to jest Win32:BogEnt i jak go usunąć?

• Jak usunąć złośliwe oprogramowanie z telefonu z Androidem?

• Jak zdobyć wirusa komputerowego, trojana, pracę, oprogramowanie szpiegujące lub złośliwe oprogramowanie?

• Zapobiegaj pobieraniu Drive-by i powiązanym atakom złośliwego oprogramowania

• 3 sposoby na pozbycie się wirusów, oprogramowania szpiegującego i złośliwego oprogramowania

• Ataki malvertisingowe: definicja, przykłady, ochrona, bezpieczeństwo

• Najlepsze internetowe skanery złośliwego oprogramowania online do skanowania plików

• IObit Malware Fighter Bezpłatna recenzja i pobranie

• Najlepsze skanery wirusów i złośliwego oprogramowania GWARANTUJĄ Nuke dowolnego wirusa

• Sprawdź, czy Twój komputer nie został zainfekowany przez oprogramowanie ASUS Update Malware

• Pakiet: definicja, zapobieganie, przewodnik usuwania

• Proces logo Microsoft Windows w Menedżerze zadań; Czy to wirus?

• Ataki, zapobieganie i wykrywanie luk w zabezpieczeniach DLL Hijacking

• Co to jest FileRepMalware? Czy powinieneś go usunąć?

• Określony moduł nie został znaleziony błąd w systemie Windows 11/10

• Jak zapobiegać złośliwemu oprogramowaniu — porady dotyczące zabezpieczania systemu Windows 11/10