Phenquestions
Deși este posibil să ascundeți malware-ul într-un mod care să păcălească chiar și produsele antivirus / antispyware tradiționale, majoritatea programelor malware folosesc deja rootkit-uri pentru a se ascunde adânc pe computerul dvs. Windows ... și devin mai periculoase! Rootkit-ul DL3 este unul dintre cele mai avansate rootkit-uri văzute vreodată în sălbăticie. Rootkit-ul era stabil și putea infecta sistemele de operare Windows pe 32 de biți; deși erau necesare drepturi de administrator pentru a instala infecția în sistem. Dar TDL3 a fost acum actualizat și acum poate infecta chiar și versiunile pe 64 de biți Windows!
Ce este Rootkit
Un virus Rootkit este un tip de malware stealth care este conceput pentru a ascunde existența anumitor procese sau programe pe computerul dvs. de metodele de detectare obișnuite, astfel încât să permită acestuia sau unui alt proces rău intenționat accesul privilegiat la computerul dvs.
Rootkits pentru Windows sunt de obicei utilizate pentru a ascunde software-ul rău intenționat de, de exemplu, un program antivirus. Este utilizat în scopuri rău intenționate de viruși, viermi, ușile din spate și spyware. Un virus combinat cu un rootkit produce ceea ce este cunoscut sub numele de virusuri stealth complete. Rootkit-urile sunt mai frecvente în domeniul spyware-ului și acum devin și mai frecvent utilizate de autorii de virusuri.
Acum sunt un tip emergent de Super Spyware care ascunde în mod eficient și afectează direct nucleul sistemului de operare. Acestea sunt folosite pentru a ascunde prezența obiectelor rău intenționate, cum ar fi troieni sau keyloggers pe computer. Dacă o amenințare folosește tehnologia rootkit pentru a ascunde, este foarte greu să găsești malware pe computerul tău.
Seturile de rădăcini în sine nu sunt periculoase. Singurul lor scop este să ascundă software-ul și urmele lăsate în urmă în sistemul de operare. Indiferent dacă este vorba despre programe normale sau programe malware.
Există practic trei tipuri diferite de Rootkit. Primul tip, „Kernel Rootkits”Adaugă de obicei propriul cod la anumite părți ale nucleului sistemului de operare, în timp ce al doilea tip,„Rootkits în modul utilizator”Sunt special direcționate către Windows pentru a porni în mod normal în timpul pornirii sistemului sau sunt injectate în sistem de așa-numitul„ Dropper ”. Al treilea tip este MBR Rootkits sau Bootkits.
Când găsiți că AntiVirus și AntiSpyware nu funcționează, poate fi necesar să luați ajutorul unui utilitar Anti-Rootkit bun. RootkitRevealer de la Microsoft Sysinternals este un utilitar avansat de detectare a rootkit-urilor. Ieșirea sa listează discrepanțe API ale sistemului de fișiere și registru care pot indica prezența unui rootkit în modul utilizator sau în modul kernel.
Centrul de protecție împotriva malware-ului Microsoft Raport de amenințare privind kiturile de root
Centrul de protecție împotriva malware-ului Microsoft a pus la dispoziție pentru descărcare Raportul său privind amenințările pe kiturile de root. Raportul examinează unul dintre cele mai insidioase tipuri de malware care amenință organizațiile și persoanele de astăzi - rootkit-ul. Raportul examinează modul în care atacatorii folosesc rootkiturile și modul în care funcționează rootkit-urile pe computerele afectate. Iată un esențial al raportului, începând cu ceea ce sunt Rootkits - pentru începători.
Rootkit este un set de instrumente pe care un atacator sau un creator de malware le folosește pentru a obține controlul asupra oricărui sistem expus / nesecurizat care altfel este rezervat în mod normal unui administrator de sistem. În ultimii ani, termenul „ROOTKIT” sau „ROOTKIT FUNCTIONALITY” a fost înlocuit cu MALWARE - un program conceput pentru a avea efecte nedorite asupra unui computer sănătos. Funcția principală a malware-ului este de a retrage în secret date valoroase și alte resurse de pe computerul unui utilizator și de a le oferi atacatorului, oferindu-i astfel control complet asupra computerului compromis. Mai mult, acestea sunt dificil de detectat și îndepărtat și pot rămâne ascunse perioade îndelungate, posibil ani, dacă trec neobservate.
Deci, în mod firesc, simptomele unui computer compromis trebuie mascate și luate în considerare înainte ca rezultatul să se dovedească fatal. În special, ar trebui luate măsuri de securitate mai stricte pentru a descoperi atacul. Dar, după cum sa menționat, odată ce aceste rootkit-uri / programe malware sunt instalate, capacitățile sale stealth fac dificilă eliminarea acestuia și a componentelor pe care le-ar putea descărca. Din acest motiv, Microsoft a creat un raport despre ROOTKITS.
Raportul de 16 pagini prezintă modul în care un atacator folosește rootkiturile și modul în care acestea funcționează pe computerele afectate.
Singurul scop al raportului este identificarea și examinarea atentă a malware-urilor puternice care amenință multe organizații, în special utilizatorii de computere. De asemenea, menționează unele dintre familiile de malware prevalente și aduce în lumină metoda pe care atacatorii o folosesc pentru a instala aceste rootkit-uri în scopuri egoiste proprii pe sisteme sănătoase. În restul raportului, veți găsi experți care fac câteva recomandări pentru a ajuta utilizatorii să atenueze amenințarea din rootkit-uri.
Tipuri de rootkits
Există multe locuri în care malware-ul se poate instala într-un sistem de operare. Deci, mai ales tipul de rootkit este determinat de locația sa în care își efectuează subversiunea căii de execuție. Aceasta include:
- Seturi de root pentru modul utilizator
- Seturile de root ale modului kernel
- MBR Rootkits / bootkits
Efectul posibil al unui compromis rootkit în modul kernel este ilustrat printr-o captură de ecran de mai jos.
Al treilea tip, modificați Master Boot Record pentru a obține controlul sistemului și începe procesul de încărcare a celui mai devreme punct posibil în secvența de boot 3. Ascunde fișiere, modificări ale registrului, dovezi ale conexiunilor de rețea, precum și alți posibili indicatori care pot indica prezența acestuia.
Familiile malware notabile care utilizează funcționalitatea Rootkit
- Win32 / Sinowal13 - O familie multi-componentă de programe malware care încearcă să fure date sensibile, cum ar fi nume de utilizatori și parole pentru diferite sisteme. Aceasta include încercarea de a fura detalii de autentificare pentru o varietate de conturi FTP, HTTP și de e-mail, precum și acreditări utilizate pentru operațiuni bancare online și alte tranzacții financiare.
- Win32 / Cutwail15 - Un troian care descarcă și execută fișiere arbitrare. Fișierele descărcate pot fi executate de pe disc sau injectate direct în alte procese. În timp ce funcționalitatea fișierelor descărcate este variabilă, Cutwail descarcă de obicei alte componente care trimit spam. Folosește un rootkit în modul kernel și instalează mai multe drivere de dispozitiv pentru a-și ascunde componentele de utilizatorii afectați.
- Win32 / Rustock - O familie multi-componentă de troieni din backdoor activată pentru rootkit dezvoltată inițial pentru a ajuta la distribuirea e-mailului „spam” printr-un botnet. O botnet este o rețea mare de computere compromise controlate de atacatori.
Protecție împotriva rootkiturilor
Prevenirea instalării rootkiturilor este cea mai eficientă metodă de evitare a infectării cu rootkit-uri. Pentru aceasta, este necesar să investiți în tehnologii de protecție, cum ar fi produsele antivirus și firewall. Astfel de produse ar trebui să adopte o abordare cuprinzătoare a protecției utilizând detecția tradițională bazată pe semnături, detectarea euristică, capacitatea semnăturii dinamice și receptive și monitorizarea comportamentului.
Toate aceste seturi de semnături ar trebui să fie actualizate folosind un mecanism automat de actualizare. Soluțiile antivirus Microsoft includ o serie de tehnologii concepute special pentru a atenua rootkit-urile, inclusiv monitorizarea comportamentului kernelului direct care detectează și raportează încercările de modificare a kernel-ului unui sistem afectat și analiza directă a sistemului de fișiere care facilitează identificarea și eliminarea driverelor ascunse.
Dacă un sistem este găsit compromis, atunci un instrument suplimentar care vă permite să porniți într-un mediu cunoscut bun sau de încredere se poate dovedi util, deoarece poate sugera unele măsuri adecvate de remediere.
În astfel de circumstanțe,
- Instrumentul Standalone System Sweeper (parte a setului de instrumente de diagnosticare și recuperare Microsoft (DaRT)
- Windows Defender Offline poate fi util.
Pentru mai multe informații, puteți descărca raportul PDF din Centrul de descărcare Microsoft.
