Phenquestions
Iako je moguće sakriti zlonamjerni softver na način koji će zavarati čak i tradicionalne antivirusne / antispyware proizvode, većina malware programa već koristi rootkitove za skrivanje duboko na vašem Windows računalu ... i postaju sve opasniji! DL3 rootkit jedan je od najnaprednijih rootkitova ikad viđen u divljini. Rootkit je bio stabilan i mogao je zaraziti 32-bitni Windows operativni sustav; iako su za instaliranje zaraze u sustav bila potrebna administratorska prava. Ali TDL3 je sada ažuriran i sada može zaraziti čak i 64-bitne verzije Windows!
Što je Rootkit
Rootkit virus je skrivena vrsta zlonamjernog softvera koji je dizajniran da sakrije postojanje određenih procesa ili programa na vašem računalu od uobičajenih metoda otkrivanja kako bi omogućio privilegirani pristup vašem računalu tom ili drugom zlonamjernom procesu.
Osnovni programi za Windows obično se koriste za skrivanje zlonamjernog softvera od, na primjer, antivirusnog programa. U zlonamjerne svrhe koriste ga virusi, crvi, backdoor i špijunski softver. Virus u kombinaciji s rootkitom stvara ono što je poznato kao full stealth virusi. Rootkitovi su češći na polju špijunskog softvera, a sada ih sve češće koriste i autori virusa.
Oni su sada nova vrsta Super Spyware-a koji se učinkovito skriva i izravno utječe na jezgru operativnog sustava. Koriste se za skrivanje prisutnosti zlonamjernih predmeta poput trojanaca ili keyloggera na vašem računalu. Ako prijetnja koristi rootkit tehnologiju za skrivanje, vrlo je teško pronaći zlonamjerni softver na računalu.
Rootkiti sami po sebi nisu opasni. Njihova jedina svrha je sakriti softver i tragove koji su ostali u operacijskom sustavu. Je li ovo normalan softver ili zlonamjerni programi.
U osnovi postoje tri različite vrste Rootkita. Prva vrsta, „Rutkits jezgre"Obično dodaju vlastiti kôd dijelovima jezgre operacijskog sustava, dok druga vrsta,"Rootkitovi u korisničkom načinu”Posebno su namijenjeni sustavu Windows kako bi se normalno pokrenuli tijekom pokretanja sustava ili ih u sustav ubrizgava takozvani„ kapaljka ”. Treći tip je MBR osnovni ili pokretački programi.
Kad otkrijete da AntiVirus i AntiSpyware propadaju, možda ćete trebati potražiti pomoć a dobar Anti-Rootkit uslužni program. RootkitRevealer od Microsoft Sysinternals je napredni uslužni program za otkrivanje rootkita. Njegov izlaz navodi odstupanja API-ja registra i datotečnog sustava koja mogu ukazivati na prisutnost rootkita u korisničkom načinu ili modulu jezgre.
Izvješće o prijetnjama Microsoftovog centra za zaštitu od zlonamjernog softvera na rootkitovima
Microsoftov centar za zaštitu od zlonamjernog softvera stavio je na raspolaganje za preuzimanje svoje izvješće o prijetnjama na rootkitovima. Izvještaj ispituje jednu od podmuklijih vrsta zlonamjernog softvera koji danas prijeti organizacijama i pojedincima - rootkit. Izvješće ispituje kako napadači koriste rootkitove i kako rootkitovi funkcioniraju na pogođenim računalima. Evo suštine izvještaja, počevši od onoga što su Rootkits - za početnike.
Rootkit skup je alata koje napadač ili stvoritelj zlonamjernog softvera koristi za stjecanje kontrole nad bilo kojim izloženim / nesigurnim sustavom koji je inače rezerviran za administratora sustava. Posljednjih godina pojam "ROOTKIT" ili "ROOTKIT FUNCTIONALITY" zamijenjen je MALWAREOM - programom osmišljenim da ima neželjene učinke na zdravo računalo. Primarna funkcija zlonamjernog softvera je tajno povlačenje dragocjenih podataka i drugih resursa s korisnikova računala i pružanje napadaču, čime mu daje potpunu kontrolu nad ugroženim računalom. Štoviše, teško ih je otkriti i ukloniti, a mogu ostati skriveni dulje vrijeme, možda i godinama, ako ostanu neprimijećeni.
Dakle, prirodno je da se simptomi ugroženog računala moraju maskirati i uzeti u obzir prije nego što se ishod pokaže kobnim. Osobito bi se trebale poduzeti strože sigurnosne mjere kako bi se otkrio napad. Ali, kao što je spomenuto, nakon instaliranja ovih rootkitova / zlonamjernog softvera, njegove skrivene mogućnosti otežavaju njegovo uklanjanje i njegove komponente koje bi mogao preuzeti. Iz tog je razloga Microsoft stvorio izvješće o ROOTKITS-u.
Izvješće na 16 stranica opisuje kako napadač koristi rootkitove i kako ti rootkiti funkcioniraju na pogođenim računalima.
Jedina svrha izvješća je identificirati i pomno ispitati snažan zlonamjerni softver koji prijeti mnogim organizacijama, posebno korisnicima računala. Također se spominju neke od rasprostranjenih obitelji zlonamjernog softvera i izlaže na vidjelo metodu koju napadači koriste za instaliranje ovih rootkitova u svoje korisne svrhe na zdravim sustavima. U ostatku izvješća pronaći ćete stručnjake koji daju neke preporuke kako bi pomogli korisnicima da ublaže prijetnju od rootkitova.
Vrste rootkita
Mnogo je mjesta na kojima se zlonamjerni softver može instalirati u operativni sustav. Dakle, uglavnom se vrsta rootkita određuje prema njegovom mjestu na kojem izvodi svoju subverziju izvršne staze. Ovo uključuje:
- Korisnički modni programi
- Osnovni programi u načinu jezgre
- MBR matični / bootkiti
Mogući učinak ugrožavanja rootkita u načinu jezgre ilustriran je snimkom zaslona u nastavku.
Treći tip, izmijenite Master Boot Record kako biste stekli kontrolu nad sustavom i započeli postupak učitavanja najranije moguće točke u slijedu pokretanja3. Sakriva datoteke, izmjene registra, dokaze o mrežnim vezama kao i druge moguće pokazatelje koji mogu ukazivati na njegovu prisutnost.
Značajne obitelji zlonamjernog softvera koje koriste Rootkit funkcionalnost
- Win32 / Sinowal13 - Višekomponentna obitelj zlonamjernog softvera koja pokušava ukrasti osjetljive podatke poput korisničkih imena i lozinki za različite sustave. To uključuje pokušaj krađe podataka za provjeru autentičnosti za razne FTP, HTTP i račune e-pošte, kao i vjerodajnice koje se koriste za mrežno bankarstvo i druge financijske transakcije.
- Win32 / Cutwail15 - Trojanac koji preuzima i izvršava proizvoljne datoteke. Preuzete datoteke mogu se izvršiti s diska ili izravno ubrizgati u druge procese. Iako je funkcionalnost preuzetih datoteka promjenjiva, Cutwail obično preuzima druge komponente koje šalju neželjenu poštu. Koristi rootkit u načinu jezgre i instalira nekoliko upravljačkih programa kako bi sakrio svoje komponente od pogođenih korisnika.
- Win32 / Rustock - Višekomponentna obitelj backdoor trojanaca s omogućenim rootkitom u početku je razvijena da pomogne u distribuciji "neželjene" e-pošte putem botnet. Botnet je velika mreža ugroženih računala koju kontrolira napadač.
Zaštita od rootkita
Sprječavanje instalacije rootkita najučinkovitija je metoda za izbjegavanje zaraze rootkitovima. Za to je potrebno ulagati u zaštitne tehnologije kao što su antivirusni i vatrozidni proizvodi. Takvi bi proizvodi trebali zauzeti sveobuhvatan pristup zaštiti koristeći tradicionalno otkrivanje temeljeno na potpisu, heurističko otkrivanje, dinamičku i responzivnu sposobnost potpisa i praćenje ponašanja.
Sve ove skupove potpisa treba redovito ažurirati pomoću automatiziranog mehanizma ažuriranja. Microsoftova antivirusna rješenja uključuju brojne tehnologije dizajnirane posebno za ublažavanje rootkitova, uključujući nadzor ponašanja jezgre koji otkriva i izvještava o pokušajima modifikacije jezgre pogođenog sustava i izravno raščlanjivanje datotečnog sustava koje olakšava identifikaciju i uklanjanje skrivenih upravljačkih programa.
Ako se utvrdi da je sustav ugrožen, dodatni alat koji vam omogućuje pokretanje u poznatom dobrom ili pouzdanom okruženju može se pokazati korisnim, jer može predložiti neke odgovarajuće mjere sanacije.
U takvim okolnostima,
- Samostalni alat za čišćenje sistema (dio Microsoftova skupa alata za dijagnostiku i oporavak (DaRT)
- Izvanmrežni Windows Defender može biti koristan.
Za više informacija možete preuzeti PDF izvješće iz Microsoftova centra za preuzimanje.
