Шта је Рооткит? Како функционишу Рооткитс-и? Рооткитс објаснио.

Иако је могуће сакрити злонамерни софтвер на начин који ће заварати чак и традиционалне антивирусне / антиспиваре производе, већина злонамерних програма већ користи рооткитове да би се сакрили дубоко на вашем Виндовс рачунару ... и постају опаснији! ДЛ3 рооткит је један од најнапреднијих рооткита икад виђен у дивљини. Рооткит је био стабилан и могао је заразити 32-битни Виндовс оперативни систем; иако су за инсталирање заразе у систем била потребна администраторска права. Али ТДЛ3 је сада ажуриран и сада је у стању да зарази чак и 64-битне верзије Виндовс!

Шта је Рооткит

Рооткит вирус је скривени тип малвера који је дизајниран да сакрије постојање одређених процеса или програма на рачунару од редовних метода откривања како би омогућио привилеговани приступ рачунару или другом злонамерном процесу.

Основни програми за Виндовс се обично користе за сакривање злонамерног софтвера од, на пример, антивирусног програма. У злонамерне сврхе га користе вируси, црви, бацкдоор и шпијунски софтвер. Вирус у комбинацији са рооткит-ом производи оно што је познато као фулл стеалтх вируси. Рооткитови су чешћи на пољу шпијунског софтвера, а сада их све чешће користе и аутори вируса.

Они су сада нова врста Супер Спиваре-а који се ефикасно скрива и директно утиче на језгро оперативног система. Користе се за скривање присуства злонамерних предмета попут тројанаца или кеилоггера на вашем рачунару. Ако претња користи рооткит технологију за сакривање, врло је тешко пронаћи злонамерни софтвер на рачунару.

Основни програми сами по себи нису опасни. Њихова једина сврха је да сакрију софтвер и трагове који су остали у оперативном систему. Да ли је ово нормалан софтвер или злонамерни програм.

У основи постоје три различите врсте Рооткита. Први тип, „Кернел Рооткитс“Обично додају сопствени код деловима језгра оперативног система, док друга врста,„Кориснички модни програми“Су посебно намењени оперативном систему Виндовс да би се нормално покренуо током покретања система или у систем убризгава такозвани„ капаљка “. Трећи тип је МБР основни програми или бооткитс.

Када откријете да АнтиВирус и АнтиСпиваре пропадају, можда ћете морати потражити помоћ а добар Анти-Рооткит услужни програм. РооткитРевеалер од Мицрософт Сисинтерналс је напредни услужни програм за откривање рооткита. Његов излаз наводи неслагања АПИ-ја регистра и система датотека који могу указивати на рооткит у корисничком режиму или режиму језгра.

Извештај о претњама Мицрософтовог центра за заштиту од малваре-а на програмима

Мицрософтов центар за заштиту од малвера ставио је на располагање за преузимање свог извештаја о претњама на рооткит-овима. Извештај испитује једну од подмуклијих врста малверза који данас угрожава организације и појединце - рооткит. Извештај испитује како нападачи користе рооткитове и како рооткитс функционишу на погођеним рачунарима. Ево суштине извештаја, почев од онога што су Рооткитс - за почетнике.

Рооткит је скуп алата које нападач или креатор малвера користи да би стекао контролу над било којим изложеним / незаштићеним системом који је иначе резервисан за администратора система. Последњих година термин „РООТКИТ“ или „РООТКИТ ФУНЦТИОНАЛИТИ“ замењен је МАЛВАРЕ - програмом дизајнираним да има нежељене ефекте на здрав рачунар. Главна функција злонамерног софтвера је тајно повлачење драгоцених података и других ресурса са рачунара корисника и пружање нападача, чиме му даје потпуну контролу над компромитованим рачунаром. Штавише, њих је тешко открити и уклонити и могу остати скривени дужи временски период, можда годинама, ако остану непримећени.

Дакле, природно је да се симптоми угроженог рачунара морају маскирати и узети у обзир пре него што се исход покаже кобним. Посебно би требало предузети оштрије мере безбедности да би се открио напад. Али, као што је поменуто, након инсталирања ових рооткитова / малвера, његове стелт могућности отежавају његово уклањање и његове компоненте које би могао преузети. Из тог разлога, Мицрософт је креирао извештај о РООТКИТС-у.

Извештај на 16 страница описује како нападач користи рооткитове и како ови рооткитови функционишу на погођеним рачунарима.

Једина сврха извештаја је да идентификује и пажљиво испита моћан малвер који прети многим организацијама, посебно корисницима рачунара. Такође се спомињу неке од распрострањених породица малвера и износи на видело метод који нападачи користе за инсталирање ових рооткитова у своје себичне сврхе на здравим системима. У остатку извештаја наћи ћете стручњаке који дају неке препоруке како би помогли корисницима да ублаже претњу од рооткитова.

Врсте рооткита

Постоји много места на којима се злонамерни софтвер може инсталирати у оперативни систем. Дакле, углавном се врста рооткита одређује према његовој локацији на којој врши субверзију путање извршења. Ово укључује:

1. Кориснички режим
2. Основни програми у режиму језгра
3. МБР рооткитс / бооткитс

Могући ефекат компромитације рооткит-а у режиму језгра илустрован је снимком екрана испод.

Трећи тип, измените Мастер Боот Рецорд да бисте стекли контролу над системом и започели процес учитавања најраније могуће тачке у секвенци покретања3. Сакрива датотеке, модификације регистра, доказе о мрежним везама као и друге могуће индикаторе који могу указивати на његово присуство.

Значајне породице малвера које користе Рооткит функционалност

• Вин32 / Синовал13 - Вишекомпонентна породица малвера која покушава да украде осетљиве податке попут корисничких имена и лозинки за различите системе. То укључује покушај крађе детаља за потврду идентитета за разне ФТП, ХТТП и рачуне е-поште, као и акредитиве који се користе за мрежно банкарство и друге финансијске трансакције.
• Вин32 / Цутваил15 - Тројански програм који преузима и извршава произвољне датотеке. Преузете датотеке могу се извршити са диска или убризгати директно у друге процесе. Иако је функционалност преузетих датотека променљива, Цутваил обично преузима друге компоненте које шаљу нежељену пошту. Користи рооткит у режиму језгра и инсталира неколико управљачких програма како би сакрио своје компоненте од погођених корисника.
• Вин32 / Рустоцк - Вишекомпонентна породица бацкдоор тројанаца са омогућеним рооткит-ом у почетку је развијена да помогне у дистрибуцији „нежељене“ е-поште путем ботнет. Ботнет је велика мрежа угрожених рачунара коју контролише нападач.

Заштита од рооткита

Спречавање инсталације рооткита је најефикаснији метод за избегавање заразе рооткит-ом. За то је неопходно улагати у заштитне технологије као што су антивирусни производи и заштитни зид. Такви производи треба да заузму свеобухватан приступ заштити коришћењем традиционалне детекције засноване на потпису, хеуристичке детекције, динамичке и одзивне способности потписа и праћења понашања.

Сви ови скупови потписа треба да буду ажурирани помоћу аутоматског механизма за ажурирање. Мицрософтова антивирусна решења укључују бројне технологије дизајниране посебно за ублажавање рооткитова, укључујући праћење понашања активног језгра које открива и извештава о покушајима модификације језгра погођеног система и директно рашчлањивање система датотека које олакшава идентификацију и уклањање скривених управљачких програма.

Ако се утврди да је систем угрожен, додатни алат који вам омогућава покретање у познатом добром или поузданом окружењу може се показати корисним, јер може предложити неке одговарајуће мере санације.

Под таквим околностима,

1. Алат Самостални систем за чишћење (део Мицрософтовог скупа алата за дијагностику и опоравак (ДаРТ)
2. Виндовс Дефендер ван мреже може бити користан.

За више информација можете да преузмете ПДФ извештај из Мицрософтовог центра за преузимање.