Co to jest rootkit? Jak działają rootkity? Wyjaśnienie rootkitów.
Chociaż możliwe jest ukrycie złośliwego oprogramowania w sposób, który oszuka nawet tradycyjne produkty antywirusowe/antyspyware, większość złośliwych programów już używa rootkitów do ukrywania się głęboko na komputerze z systemem Windows(Windows) … i stają się one coraz bardziej niebezpieczne! Rootkit DL3 jest jednym z najbardziej zaawansowanych rootkitów, jakie kiedykolwiek widziano na wolności. Rootkit był stabilny i mógł infekować 32-bitowe systemy operacyjne Windows ; chociaż do zainstalowania infekcji w systemie potrzebne były uprawnienia administratora. Ale TDL3 został teraz zaktualizowany i jest teraz w stanie infekować nawet 64-bitowe wersje systemu Windows(even 64-bit versions Windows) !
Co to jest rootkit
Wirus typu rootkit to ukryty rodzaj złośliwego oprogramowania , którego celem jest ukrycie istnienia pewnych procesów lub programów na komputerze przed zwykłymi metodami wykrywania, aby umożliwić mu lub innemu złośliwemu procesowi uprzywilejowany dostęp do komputera.
Rootkity dla systemu Windows(Rootkits for Windows) są zwykle używane do ukrywania złośliwego oprogramowania, na przykład przed programem antywirusowym. Jest używany do złośliwych celów przez wirusy, robaki, tylne drzwi i oprogramowanie szpiegujące. Wirus w połączeniu z rootkitem tworzy tak zwane wirusy w pełni ukrywające się. Rootkity są częstsze w dziedzinie programów szpiegujących, a teraz są również coraz częściej wykorzystywane przez autorów wirusów.
Są teraz nowym typem Super Spyware , który skutecznie ukrywa i bezpośrednio wpływa na jądro systemu operacyjnego. Służą do ukrywania obecności na komputerze złośliwego obiektu, takiego jak trojany lub keyloggery. Jeśli zagrożenie wykorzystuje technologię rootkit do ukrycia, bardzo trudno jest znaleźć złośliwe oprogramowanie na komputerze.
Rootkity same w sobie nie są niebezpieczne. Ich jedynym celem jest ukrycie oprogramowania i śladów pozostawionych w systemie operacyjnym. Niezależnie od tego, czy jest to normalne oprogramowanie, czy złośliwe oprogramowanie.
Zasadniczo istnieją trzy różne typy rootkitów(Rootkit) . Pierwszy rodzaj, rootkity jądra(Kernel Rootkits) , zwykle dodają własny kod do części jądra systemu operacyjnego, podczas gdy drugi rodzaj, rootkity trybu użytkownika,(User-mode Rootkits) są specjalnie przeznaczone dla systemu Windows(Windows) w celu normalnego uruchomienia podczas uruchamiania systemu. lub wstrzykiwany do systemu za pomocą tzw. „Zakraplacza”. Trzeci typ to rootkity MBR lub bootkity(MBR Rootkits or Bootkits) .
Gdy zauważysz, że oprogramowanie antywirusowe(AntiVirus) i antyszpiegowskie przestaje(AntiSpyware) działać, może być konieczne skorzystanie z pomocy dobrego narzędzia anty-rootkit(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer firmy Microsoft Sysinternals to zaawansowane narzędzie do wykrywania rootkitów. Jego dane wyjściowe zawierają listę rozbieżności API rejestru(Registry) i systemu plików, które mogą wskazywać na obecność rootkita w trybie użytkownika lub w trybie jądra.
Raport o zagrożeniach Centrum ochrony przed złośliwym oprogramowaniem firmy Microsoft(Microsoft Malware Protection Center Threat Report) dotyczący rootkitów(Rootkits)
Centrum ochrony przed złośliwym oprogramowaniem firmy Microsoft(Microsoft Malware Protection Center) udostępniło do pobrania raport o zagrożeniach(Threat Report) dotyczących rootkitów(Rootkits) . Raport analizuje jeden z bardziej podstępnych rodzajów złośliwego oprogramowania zagrażającego współczesnym organizacjom i osobom — rootkit. Raport analizuje, w jaki sposób atakujący używają rootkitów i jak rootkity działają na zagrożonych komputerach. Oto sedno raportu, zaczynając od tego, czym są rootkity(Rootkits) – dla początkujących.
Rootkit to zestaw narzędzi, których napastnik lub twórca złośliwego oprogramowania używa do przejęcia kontroli nad dowolnym odsłoniętym/niezabezpieczonym systemem, który normalnie jest zarezerwowany dla administratora systemu. W ostatnich latach termin „ROOTKIT” lub „ROOTKIT FUNKCJONALNOŚĆ” został zastąpiony przez MALWARE – program zaprojektowany, aby mieć niepożądane skutki na zdrowym komputerze. Podstawową funkcją złośliwego oprogramowania jest potajemne pobieranie cennych danych i innych zasobów z komputera użytkownika i udostępnianie ich atakującemu, dając mu w ten sposób pełną kontrolę nad zaatakowanym komputerem. Co więcej, są one trudne do wykrycia i usunięcia i mogą pozostać ukryte przez dłuższy czas, a nawet lata, jeśli nie zostaną zauważone.
Tak więc naturalnie objawy zhakowanego komputera należy zamaskować i wziąć pod uwagę, zanim wynik okaże się śmiertelny. W szczególności należy podjąć bardziej rygorystyczne środki bezpieczeństwa w celu wykrycia ataku. Ale, jak wspomniano, po zainstalowaniu tych rootkitów/złośliwego oprogramowania, jego możliwości ukrywania się utrudniają usunięcie go i jego komponentów, które może pobrać. Z tego powodu Microsoft stworzył raport na temat ROOTKITS .
W 16-stronicowym raporcie opisano, w jaki sposób osoba atakująca wykorzystuje rootkity i jak te rootkity działają na zagrożonych komputerach.
Jedynym celem raportu jest identyfikacja i dokładne zbadanie potencjalnego złośliwego oprogramowania zagrażającego wielu organizacjom, w szczególności użytkownikom komputerów. Wspomina również o niektórych rozpowszechnionych rodzinach złośliwego oprogramowania i ukazuje metodę, której atakujący używają do instalowania tych rootkitów do własnych, egoistycznych celów na zdrowych systemach. W pozostałej części raportu eksperci przedstawią zalecenia, które pomogą użytkownikom ograniczyć zagrożenie ze strony rootkitów.
Rodzaje rootkitów
Istnieje wiele miejsc, w których złośliwe oprogramowanie może zainstalować się w systemie operacyjnym. Tak więc najczęściej typ rootkita jest określany przez jego lokalizację, w której wykonuje on swoją zmianę ścieżki wykonania. To zawiera:
- Rootkity w trybie użytkownika
- Rootkity w trybie jądra
- Rootkity/bootkity MBR
Możliwy wpływ narażenia rootkita w trybie jądra jest zilustrowany na poniższym zrzucie ekranu.
Trzeci typ, zmodyfikuj główny rekord rozruchowy(Master Boot Record) , aby przejąć kontrolę nad systemem i rozpocząć proces ładowania najwcześniejszego możliwego punktu w sekwencji rozruchowej3. Ukrywa pliki, modyfikacje rejestru, dowody połączeń sieciowych, a także inne możliwe wskaźniki, które mogą wskazywać na jego obecność.
Znane rodziny złośliwego oprogramowania(Malware) , które wykorzystują funkcjonalność rootkita(Rootkit)
- Win32/Sinowal 13 — wieloskładnikowa rodzina złośliwego oprogramowania, które próbuje ukraść poufne dane, takie jak nazwy użytkowników i hasła do różnych systemów. Obejmuje to próby kradzieży danych uwierzytelniających dla różnych kont FTP , HTTP i e-mail, a także danych uwierzytelniających używanych do bankowości internetowej i innych transakcji finansowych.
- Win32/Cutwail 15 — trojan , który pobiera i uruchamia dowolne pliki. Pobrane pliki mogą być wykonywane z dysku lub wstrzykiwane bezpośrednio do innych procesów. Chociaż funkcjonalność pobieranych plików jest zmienna, Cutwail zwykle pobiera inne komponenty, które wysyłają spam. Używa rootkita w trybie jądra i instaluje kilka sterowników urządzeń, aby ukryć jego komponenty przed dotkniętymi użytkownikami.
- Win32/Rustock — wieloskładnikowa rodzina trojanów(Trojans) typu backdoor obsługujących rootkity, początkowo opracowana w celu pomocy w rozpowszechnianiu wiadomości e-mail ze „spamem” za pośrednictwem botnetu(botnet) . Botnet to duża, kontrolowana przez atakującego sieć zhakowanych komputerów.
Ochrona przed rootkitami
Zapobieganie instalacji rootkitów jest najskuteczniejszą metodą uniknięcia infekcji rootkitami. W tym celu konieczne jest zainwestowanie w technologie ochronne, takie jak produkty antywirusowe i zapory ogniowe. Takie produkty powinny przyjąć kompleksowe podejście do ochrony, wykorzystując tradycyjne wykrywanie oparte na sygnaturach, wykrywanie heurystyczne, dynamiczne i responsywne możliwości sygnatur oraz monitorowanie zachowania.
Wszystkie te zestawy podpisów powinny być aktualizowane za pomocą automatycznego mechanizmu aktualizacji. Rozwiązania antywirusowe firmy Microsoft(Microsoft) obejmują szereg technologii zaprojektowanych specjalnie w celu łagodzenia skutków rootkitów, w tym monitorowanie zachowania aktywnego jądra, które wykrywa i raportuje próby modyfikacji jądra systemu, którego dotyczy luka, oraz bezpośrednie analizowanie systemu plików, które ułatwia identyfikację i usuwanie ukrytych sterowników.
Jeśli system zostanie zhakowany, przydatne może okazać się dodatkowe narzędzie, które umożliwia uruchomienie w znanym dobrym lub zaufanym środowisku, ponieważ może zasugerować odpowiednie środki zaradcze.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)
W takich okolicznościach
- Samodzielne narzędzie do czyszczenia systemu(Standalone System Sweeper) (część zestawu narzędzi Microsoft Diagnostics and Recovery Toolset ( DaRT )
- Windows Defender Offline może być przydatny.
Aby uzyskać więcej informacji, możesz pobrać raport PDF z (PDF)Microsoft Download Center.
Related posts
Jak uniknąć oszustw i ataków typu phishing?
Co to jest trojan zdalnego dostępu? Zapobieganie, wykrywanie i usuwanie
Usuń wirusa z dysku flash USB za pomocą wiersza polecenia lub pliku wsadowego
Fałszywe oprogramowanie zabezpieczające lub Scareware: Jak sprawdzać, zapobiegać, usuwać?
Co to jest Win32:BogEnt i jak go usunąć?
Jak usunąć złośliwe oprogramowanie z telefonu z Androidem?
Jak zdobyć wirusa komputerowego, trojana, pracę, oprogramowanie szpiegujące lub złośliwe oprogramowanie?
Zapobiegaj pobieraniu Drive-by i powiązanym atakom złośliwego oprogramowania
3 sposoby na pozbycie się wirusów, oprogramowania szpiegującego i złośliwego oprogramowania
Ataki malvertisingowe: definicja, przykłady, ochrona, bezpieczeństwo
Najlepsze internetowe skanery złośliwego oprogramowania online do skanowania plików
IObit Malware Fighter Bezpłatna recenzja i pobranie
Najlepsze skanery wirusów i złośliwego oprogramowania GWARANTUJĄ Nuke dowolnego wirusa
Sprawdź, czy Twój komputer nie został zainfekowany przez oprogramowanie ASUS Update Malware
Pakiet: definicja, zapobieganie, przewodnik usuwania
Proces logo Microsoft Windows w Menedżerze zadań; Czy to wirus?
Ataki, zapobieganie i wykrywanie luk w zabezpieczeniach DLL Hijacking
Co to jest FileRepMalware? Czy powinieneś go usunąć?
Określony moduł nie został znaleziony błąd w systemie Windows 11/10
Jak zapobiegać złośliwemu oprogramowaniu — porady dotyczące zabezpieczania systemu Windows 11/10