Ano ang Rootkit? Paano gumagana ang Rootkit? Ipinaliwanag ng Rootkits.

What Is Rootkit How Do Rootkits Work

Ipinapaliwanag ng artikulong ito kung ano ang isang Rootkit virus, kung paano gumagana ang Rootkit at mga uri ng Rootkit sa Windows - Kernel at Mga Rootkit ng User-mode. Ipinaliwanag ng Bootkit vs Rootkit.



Habang posible na itago ang malware sa isang paraan na lokohin kahit ang tradisyunal na mga produkto ng antivirus / antispyware, ang karamihan sa mga programa ng malware ay gumagamit na ng mga rootkit upang itago ang malalim sa iyong Windows PC ... at nagiging mas mapanganib sila! Ang Rootkit ng DL3 ay isa sa mga pinaka-advanced na rootkit na nakita sa ligaw. Ang rootkit ay matatag at maaaring makahawa sa 32 bit Windows operating system; bagaman kinakailangan ng mga karapatan ng administrator upang mai-install ang impeksyon sa system. Ngunit ang TDL3 ay na-update na at nakakakahawa na ngayon kahit na 64-bit na bersyon ng Windows !



Ano ang Rootkit

virus

Ang isang Rootkit virus ay isang nakaw uri ng malware na idinisenyo upang maitago ang pagkakaroon ng ilang mga proseso o programa sa iyong computer mula sa regular na mga pamamaraan ng pagtuklas, upang payagan ito o ibang mapanghamak na proseso na may pribilehiyong pag-access sa iyong computer.



Rootkit para sa Windows ay karaniwang ginagamit upang itago ang nakakahamak na software mula sa, halimbawa, isang programa ng antivirus. Ginagamit ito para sa nakakahamak na layunin ng mga virus, bulate, backdoors, at spyware. Ang isang virus na sinamahan ng isang rootkit ay gumagawa ng kilala bilang buong mga stealth virus. Ang mga Rootkit ay mas karaniwan sa larangan ng spyware, at nagiging mas karaniwang ginagamit din sila ng mga may-akda ng virus.

Ang mga ito ngayon ay isang umuusbong na uri ng Super Spyware na nagtatago nang mabisa at direktang nakakaapekto sa operating system kernel. Ginagamit ang mga ito upang maitago ang pagkakaroon ng isang nakakahamak na bagay tulad ng mga trojan o keylogger sa iyong computer. Kung ang isang banta ay gumagamit ng teknolohiya ng rootkit upang maitago napakahirap hanapin ang malware sa iyong PC.

Ang mga Rootkit sa kanilang sarili ay hindi mapanganib. Ang tanging layunin lamang nila ay itago ang software at ang mga bakas na naiwan sa operating system. Ito man ay normal na mga programa ng software o malware.



Mayroong karaniwang tatlong magkakaibang uri ng Rootkit. Ang unang uri, ang “ Kernel Rootkits 'Kadalasang nagdaragdag ng kanilang sariling code sa mga bahagi ng core ng operating system, samantalang ang pangalawang uri, ang' Mga Rootkit ng User-mode 'Ay espesyal na naka-target sa Windows upang mag-startup ng normal sa panahon ng pagsisimula ng system, o i-injected sa system ng isang tinaguriang' Dropper '. Ang pangatlong uri ay MBR Rootkit o Bootkit .

Kapag nakita mong nabigo ang iyong AntiVirus & AntiSpyware, maaaring kailanganin mong kumuha ng tulong ng a magandang Anti-Rootkit Utility . RootkitRevealer mula sa Microsoft Sysinternals ay isang advanced na utility ng rootkit detection. Inililista ng output nito ang mga pagkakaiba-iba ng Registry at file system API na maaaring magpahiwatig ng pagkakaroon ng isang user-mode o kernel-mode rootkit.

Ulat ng Banta ng Microsoft Malware Protection Center sa Rootkits

Ginawang magagamit ng Microsoft Malware Protection Center para sa pag-download ng Threat Report sa Rootkits. Sinusuri ng ulat ang isa sa mga mas mapanirang uri ng malware na mga organisasyong nagbabanta sa malware ngayon - ang rootkit. Sinusuri ng ulat kung paano gumagamit ng mga rootkit ang pag-atake, at kung paano gumagana ang mga rootkit sa mga apektadong computer. Narito ang isang kabuuan ng ulat, nagsisimula sa kung ano ang Rootkit - para sa nagsisimula.

Rootkit ay isang hanay ng mga tool na ginagamit ng isang umaatake o isang tagalikha ng malware upang makakuha ng kontrol sa anumang nakalantad / hindi naka-secure na system na kung hindi man ay karaniwang nakalaan para sa isang administrator ng system. Sa mga nagdaang taon ang katagang 'ROOTKIT' o 'ROOTKIT FUNCTIONALITY' ay pinalitan ng MALWARE - isang program na idinisenyo upang magkaroon ng hindi kanais-nais na mga epekto sa isang malusog na computer. Ang pangunahing pagpapaandar ng Malware ay upang bawiin ang mahalagang data at iba pang mga mapagkukunan mula sa computer ng isang gumagamit nang palihim at ibigay ito sa umaatake, sa gayon ay bibigyan siya ng kumpletong kontrol sa nakompromiso na computer. Bukod dito, ang mga ito ay mahirap na tuklasin at alisin at maaaring manatiling nakatago sa matagal na panahon, marahil taon, kung hindi napansin.

Kaya natural, ang mga sintomas ng isang nakompromisong computer ay kailangang takip at isinasaalang-alang bago mapatunayan na nakamamatay ang kinalabasan. Partikular, ang mas mahigpit na mga hakbang sa seguridad ay dapat gawin upang alisan ng takip ang pag-atake. Ngunit, tulad ng nabanggit, sa sandaling na-install ang mga rootkit / malware na ito, ang mga nakaw na kakayahan nito ay ginagawang mahirap itong alisin at ang mga bahagi nito na maaaring ma-download. Para sa kadahilanang ito, lumikha ang Microsoft ng isang ulat sa ROOTKITS.

Binabalangkas ng ulat na 16-pahina kung paano gumagamit ang isang umaatake ng mga rootkit at kung paano gumana ang mga rootkit na ito sa mga apektadong computer.

Ang nag-iisang layunin ng ulat ay upang makilala at maingat na suriin ang malakas na malware na nagbabanta sa maraming mga organisasyon, partikular na ang mga gumagamit ng computer. Binabanggit din nito ang ilan sa laganap na mga pamilyang malware at inilalabas sa ilaw ang pamamaraang ginagamit ng mga umaatake upang mai-install ang mga rootkit na ito para sa kanilang sariling makasariling layunin sa malusog na mga sistema. Sa natitirang ulat, mahahanap mo ang mga dalubhasa na gumagawa ng ilang mga rekomendasyon upang matulungan ang mga gumagamit na mabawasan ang banta mula sa mga rootkit.

Mga uri ng Rootkit

Maraming mga lugar kung saan maaaring mai-install ng malware ang sarili nito sa isang operating system. Kaya, karamihan ang uri ng rootkit ay natutukoy ng lokasyon nito kung saan ginagawa nito ang pagbabagsak nito sa path ng pagpapatupad. Kasama rito:

  1. Mga Rootkit ng User Mode
  2. Mga Rootkit ng Kernel Mode
  3. MBR Rootkit / bootkits

Ang posibleng epekto ng isang kompromiso ng rootkit ng kernel-mode ay isinalarawan sa pamamagitan ng isang screen-shot sa ibaba.

nawawalang chrome sa ilalim ng scroll bar

Ang pangatlong uri, baguhin ang Master Boot Record upang makakuha ng kontrol sa system at simulan ang proseso ng pag-load ng pinakamaagang posibleng punto sa boot series3. Itinatago nito ang mga file, pagbabago sa pagpapatala, katibayan ng mga koneksyon sa network pati na rin iba pang mga posibleng tagapagpahiwatig na maaaring ipahiwatig ang pagkakaroon nito.

Kapansin-pansin na mga pamilyang Malware na gumagamit ng pagpapaandar ng Rootkit

  • Win32 / Sinowal 13 - Isang pamilya ng maraming bahagi na malware na sumusubok na nakawin ang sensitibong data tulad ng mga pangalan ng gumagamit at password para sa iba't ibang mga system. Kasama rito ang pagtatangkang nakawin ang mga detalye sa pagpapatotoo para sa iba't ibang mga FTP, HTTP, at mga email account, pati na rin mga kredensyal na ginamit para sa online banking at iba pang mga transaksyong pampinansyal.
  • Win32 / Cutwail 15 - Isang Trojan na nag-download at nagpapatupad ng di-makatwirang mga file. Ang mga na-download na file ay maaaring maipatupad mula sa disk o direktang na-injected sa iba pang mga proseso. Habang ang pag-andar ng na-download na mga file ay variable, karaniwang nai-download ng Cutwail ang iba pang mga bahagi na nagpapadala ng spam. Gumagamit ito ng isang kernel-mode rootkit at nag-i-install ng maraming mga driver ng aparato upang itago ang mga bahagi nito mula sa mga apektadong gumagamit.
  • Win32 / Rustock - Isang pamilyang multi-bahagi ng pamilya na pinagana ng rootkit na mga Trojan na paunang binuo upang tumulong sa pamamahagi ng email na 'spam' sa pamamagitan ng isang botnet . Ang botnet ay isang malaking network na kinokontrol ng attacker ng mga nakompromisong computer.

Proteksyon laban sa mga rootkit

Ang pag-iwas sa pag-install ng mga rootkit ang pinakamabisang pamamaraan upang maiwasan ang impeksyon ng mga rootkit. Para sa mga ito, kinakailangan upang mamuhunan sa mga teknolohiya ng proteksiyon tulad ng mga produktong anti-virus at firewall. Ang mga nasabing produkto ay dapat kumuha ng isang komprehensibong diskarte sa proteksyon sa pamamagitan ng paggamit ng tradisyunal na nakabatay sa lagda na pagtuklas, heuristic detection, pabago-bago at tumutugon na kakayahan sa lagda at pagsubaybay sa pag-uugali.

Ang lahat ng mga hanay ng pirma ay dapat na panatilihing napapanahon gamit ang isang awtomatikong mekanismo ng pag-update. Ang mga solusyon sa antivirus ng Microsoft ay nagsasama ng isang bilang ng mga teknolohiya na partikular na idinisenyo upang mapagaan ang mga rootkit, kabilang ang pagsubaybay sa live na kernel na pag-uugali na nakakakita at nag-uulat tungkol sa mga pagtatangka na baguhin ang kernel ng isang apektadong system, at idirekta ang pag-parse ng system ng file na nagpapadali sa pagkilala at pagtanggal ng mga nakatagong driver.

Kung ang isang sistema ay natagpuan na nakompromiso pagkatapos ay isang karagdagang tool na nagbibigay-daan sa iyo upang mag-boot sa isang kilalang mabuti o pinagkakatiwalaang kapaligiran ay maaaring patunayan na kapaki-pakinabang dahil maaaring magmungkahi ito ng ilang naaangkop na mga hakbang sa pag-aayos.

Sa ilalim ng gayong mga pangyayari,

  1. Ang tool ng Standalone System Sweeper (bahagi ng Microsoft Diagnostics and Recovery Toolset (DaRT)
  2. Ang Windows Defender Offline ay maaaring maging kapaki-pakinabang.
Mag-download ng Tool sa Pag-ayos ng PC upang mabilis na mahanap at ayusin ang mga error sa Windows nang awtomatiko

Para sa karagdagang impormasyon, maaari mong i-download ang ulat sa PDF mula sa Microsoft Download Center.



Patok Na Mga Post