Även om det är möjligt att dölja skadlig kod på ett sätt som kommer att lura även de traditionella antivirus / antispionprodukterna, använder de flesta skadliga program redan rootkits för att gömma sig djupt på din Windows-dator ... och de blir farligare! DL3 rootkit är en av de mest avancerade rootkits som någonsin sett i naturen. Rootsatsen var stabil och kunde infektera 32-bitars Windows-operativsystem; även om administratörsrättigheter behövdes för att installera infektionen i systemet. Men TDL3 har nu uppdaterats och kan nu smitta även 64-bitarsversioner Windows!
Vad är Rootkit
Ett Rootkit-virus är en stealth-typ av skadlig kod som är utformad för att dölja förekomsten av vissa processer eller program på din dator från vanliga detekteringsmetoder, så att den eller en annan skadlig process ger tillgång till din dator.
Rootkits för Windows används vanligtvis för att dölja skadlig programvara från till exempel ett antivirusprogram. Den används för skadliga ändamål av virus, maskar, bakdörrar och spionprogram. Ett virus i kombination med en rootkit producerar så kallade fullstealthvirus. Rootkits är vanligare i spionprogramfältet och de används nu också oftare av virusförfattare.
De är nu en framväxande typ av Super Spyware som gömmer sig effektivt och påverkar operativsystemets kärna direkt. De används för att dölja förekomsten av skadliga objekt som trojaner eller keyloggers på din dator. Om ett hot använder rootkit-teknik för att dölja är det mycket svårt att hitta skadlig kod på din dator.
Rootkits i sig är inte farliga. Deras enda syfte är att dölja programvara och spår som finns kvar i operativsystemet. Oavsett om det här är normal programvara eller skadlig programvara.
Det finns i princip tre olika typer av Rootkit. Den första typen, ”Kernel Rootkits"Lägger vanligtvis till sin egen kod i delar av operativsystemets kärna, medan den andra typen,"Användarläge Rootkits”Är särskilt riktade till Windows för att starta upp normalt under systemstart eller injiceras i systemet av en så kallad“ Dropper ”. Den tredje typen är MBR Rootkits eller Bootkits.
När du upptäcker att ditt AntiVirus & AntiSpyware misslyckas kan du behöva ta hjälp av en bra Anti-Rootkit-verktyg. RootkitRevealer från Microsoft Sysinternals är ett avancerat rootkit-detekteringsverktyg. Dess output listar register- och filsystem API-avvikelser som kan indikera närvaron av ett användarläge eller kärnläge rootkit.
Microsofts skydd mot skadlig programvara mot hot om rootkits
Microsoft Malware Protection Center har gjort sin hotrapport om rootkits tillgänglig för nedladdning. Rapporten undersöker en av de mer lömska typerna av skadliga program som hotar organisationer och individer idag - rootkit. Rapporten undersöker hur angripare använder rootkits och hur rootkits fungerar på berörda datorer. Här är en sammanfattning av rapporten, som börjar med vad som är Rootkits - för nybörjaren.
Rootkit är en uppsättning verktyg som en angripare eller en malware skapare använder för att få kontroll över alla exponerade / osäkra system som annars är reserverade för en systemadministratör. Under de senaste åren har termen 'ROOTKIT' eller 'ROOTKIT FUNCTIONALITY' ersatts med MALWARE - ett program som är utformat för att ha oönskade effekter på en hälsosam dator. Malwares främsta funktion är att ta bort värdefull data och andra resurser från en användares dator i hemlighet och tillhandahålla den till angriparen, vilket ger honom fullständig kontroll över den komprometterade datorn. Dessutom är de svåra att upptäcka och ta bort och kan förbli dolda under längre perioder, eventuellt år, om de inte går att se.
Så naturligtvis måste symtomen på en komprometterad dator maskeras och beaktas innan resultatet blir dödligt. Särskilt strängare säkerhetsåtgärder bör vidtas för att avslöja attacken. Men, som nämnts, när dessa rootkits / malware har installerats gör dess smygfunktioner det svårt att ta bort det och dess komponenter som det kan ladda ner. Av denna anledning har Microsoft skapat en rapport om ROOTKITS.
Rapporten med 16 sidor beskriver hur en angripare använder rootkits och hur dessa rootkits fungerar på berörda datorer.
Det enda syftet med rapporten är att identifiera och noggrant undersöka potent skadlig kod som hotar många organisationer, särskilt datoranvändare. Den nämner också några av de vanliga skadliga familjerna och visar den metod som angriparna använder för att installera dessa rootkits för sina egna själviska syften på friska system. I resten av rapporten hittar du experter som ger några rekommendationer för att hjälpa användare att mildra hotet från rootkits.
Typer av rootkits
Det finns många platser där skadlig programvara kan installera sig i ett operativsystem. Så, mestadels bestäms typen av rootkit av dess plats där den utför sin subversion av exekveringsvägen. Detta inkluderar:
- Rootkits för användarläge
- Rootkits för kärnläge
- MBR Rootkits / bootkits
Den möjliga effekten av en rootkit-kompromiss i kärnläget illustreras via en skärmdump nedan.
Den tredje typen, modifiera Master Boot Record för att få kontroll över systemet och starta processen för att ladda tidigast möjliga punkt i startsekvensen3. Det döljer filer, registerändringar, bevis på nätverksanslutningar samt andra möjliga indikatorer som kan indikera dess närvaro.
Anmärkningsvärda skadliga familjer som använder Rootkit-funktionalitet
- Win32 / Sinowal13 - En flerkomponentfamilj av skadlig kod som försöker stjäla känslig data som användarnamn och lösenord för olika system. Detta inkluderar försök att stjäla autentiseringsuppgifter för en mängd olika FTP-, HTTP- och e-postkonton, samt autentiseringsuppgifter som används för nätbank och andra finansiella transaktioner.
- Win32 / Cutwail15 - En trojan som laddar ner och kör godtyckliga filer. De nedladdade filerna kan köras från hårddisken eller injiceras direkt i andra processer. Medan funktionerna hos de nedladdade filerna är varierande, hämtar Cutwail vanligtvis andra komponenter som skickar skräppost. Den använder en rootkit i kärnläge och installerar flera enhetsdrivrutiner för att dölja dess komponenter från berörda användare.
- Win32 / Rustock - En flerkomponentsfamilj av rootkit-aktiverade bakdörr-trojaner utvecklades ursprungligen för att hjälpa till med distributionen av "skräppost" via en botnet. Ett botnet är ett stort angriparstyrt nätverk av komprometterade datorer.
Skydd mot rootkits
Att förhindra installation av rootkits är den mest effektiva metoden för att undvika infektion med rootkits. För detta är det nödvändigt att investera i skyddande teknik som antivirus- och brandväggsprodukter. Sådana produkter bör ta ett omfattande tillvägagångssätt för skydd genom att använda traditionell signaturbaserad detektering, heuristisk detektering, dynamisk och responsiv signaturfunktion och beteendeövervakning.
Alla dessa signaturuppsättningar bör hållas uppdaterade med hjälp av en automatiserad uppdateringsmekanism. Microsofts antiviruslösningar inkluderar ett antal tekniker som är utformade specifikt för att mildra rootkits, inklusive övervakning av live-kärnbeteende som upptäcker och rapporterar om försök att modifiera ett berört systems kärna och direkt filsystems-parsing som underlättar identifiering och borttagning av dolda drivrutiner.
Om ett system upptäcks äventyras kan ett extra verktyg som låter dig starta upp till en känd bra eller pålitlig miljö visa sig vara användbar eftersom det kan föreslå några lämpliga avhjälpande åtgärder.
Under sådana omständigheter,
- Det fristående verktyget för sopmaskiner (en del av Microsoft Diagnostics and Recovery Toolset (DaRT))
- Windows Defender Offline kan vara användbart.
För mer information kan du ladda ner PDF-rapporten från Microsoft Download Center.