Какво е руткит? Как работят руткитите? Руткитите са обяснени.
Въпреки че е възможно да се скрие зловреден софтуер по начин, който ще заблуди дори традиционните антивирусни/антишпионски продукти, повечето програми за злонамерен софтуер вече използват руткити, за да се скрият дълбоко на вашия компютър с Windows ... и те стават все по-опасни! DL3 руткитът е един от най-модерните руткити, виждани някога в дивата природа. Руткитът беше стабилен и можеше да зарази 32-битови операционни системи Windows ; въпреки че бяха необходими администраторски права за инсталиране на инфекцията в системата. Но TDL3 вече е актуализиран и вече може да зарази дори 64-битови версии на Windows(even 64-bit versions Windows) !
Какво е руткит
Руткит вирусът е скрит тип зловреден софтуер , който е предназначен да скрие съществуването на определени процеси или програми на вашия компютър от редовни методи за откриване, така че да позволи на него или на друг злонамерен процес привилегирован достъп до вашия компютър.
Руткитите за Windows(Rootkits for Windows) обикновено се използват за скриване на злонамерен софтуер от, например, антивирусна програма. Използва се за злонамерени цели от вируси, червеи, бекдори и шпионски софтуер. Вирус, комбиниран с руткит, произвежда това, което е известно като пълни стелт вируси. Руткитовете са по-често срещани в областта на шпионски софтуер и сега стават все по-често използвани и от авторите на вируси.
Сега те са нововъзникващ тип супер шпионски софтуер(Super Spyware) , който крие ефективно и влияе директно върху ядрото на операционната система. Те се използват, за да скрият наличието на злонамерен обект като троянски коне или кейлогъри на вашия компютър. Ако заплахата използва руткит технология, за да скрие, е много трудно да се намери зловреден софтуер на вашия компютър.
Руткитовете сами по себе си не са опасни. Единствената им цел е да скрият софтуера и следите, останали в операционната система. Независимо дали това е нормален софтуер или злонамерен софтуер.
Има основно три различни типа руткит(Rootkit) . Първият тип, „ Kernel Rootkits “ обикновено добавят свой собствен код към части от ядрото на операционната система, докато вторият вид, „ Rutkits в потребителски режим(User-mode Rootkits) “, са специално насочени към Windows , за да се стартира нормално по време на стартиране на системата, или се инжектира в системата чрез т. нар. „Капкомер“. Третият тип са MBR Rootkits или Bootkits(MBR Rootkits or Bootkits) .
Когато установите, че вашият антивирус(AntiVirus) и антишпионски(AntiSpyware) софтуер не работи, може да се наложи да се възползвате от добра помощна програма за защита от руткит(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer от Microsoft Sysinternals е усъвършенствана програма за откриване на руткит. Неговият изход изброява несъответствията на API на (API)системния регистър(Registry) и файловата система , които могат да показват наличието на руткит в режим на потребител или на ядрото.
Доклад за заплахи в Центъра за защита от злонамерен софтуер на Microsoft(Microsoft Malware Protection Center Threat Report) за руткити(Rootkits)
Центърът за защита от злонамерен софтуер на Microsoft(Microsoft Malware Protection Center) предостави за изтегляне своя доклад за заплахите(Threat Report) за руткитове(Rootkits) . Докладът разглежда един от най-коварните видове злонамерен софтуер, заплашващ организации и лица днес – руткитът. Докладът разглежда как нападателите използват руткити и как функционират руткитите на засегнатите компютри. Ето същината на доклада, започвайки с това какво представляват руткитите(Rootkits) – за начинаещи.
Руткитът(Rootkit) е набор от инструменти, които нападател или създател на зловреден софтуер използва, за да получи контрол върху всяка открита/незащитена система, която иначе обикновено е запазена за системен администратор. През последните години терминът „ROOTKIT“ или „ROOTKIT FUNCTIONALITY“ беше заменен от MALWARE – програма, предназначена да има нежелани ефекти върху здравия компютър. Основната функция на злонамерения софтуер е тайно да изтегли ценни данни и други ресурси от компютъра на потребителя и да ги предостави на нападателя, като по този начин му даде пълен контрол над компрометирания компютър. Освен това те са трудни за откриване и премахване и могат да останат скрити за продължителни периоди, вероятно години, ако останат незабелязани.
Така че естествено, симптомите на компрометиран компютър трябва да бъдат маскирани и взети под внимание, преди изходът да се окаже фатален. По-специално, трябва да се вземат по-строги мерки за сигурност, за да се разкрие атаката. Но, както споменахме, след като тези руткити/зловреден софтуер бъдат инсталирани, неговите стелт възможности затрудняват премахването му и неговите компоненти, които може да изтегли. Поради тази причина Microsoft създаде доклад за ROOTKITS .
Докладът от 16 страници очертава как нападателят използва руткити и как тези руткити функционират на засегнатите компютри.
Единствената цел на доклада е да идентифицира и внимателно проучи мощен зловреден софтуер, заплашващ много организации, в частност потребители на компютри. Той също така споменава някои от преобладаващите семейства зловреден софтуер и извежда на бял свят метода, който нападателите използват, за да инсталират тези руткити за свои собствени егоистични цели в здрави системи. В останалата част от доклада ще намерите експерти, които дават някои препоръки, за да помогнат на потребителите да смекчат заплахата от руткитове.
Видове руткити
Има много места, където зловреден софтуер може да се инсталира сам в операционна система. Така че, най-вече типът на руткит се определя от местоположението му, където извършва подмяната на пътя на изпълнение. Това включва:
- Руткити за потребителски режим
- Руткити в режим на ядрото
- MBR руткити/буткити
Възможният ефект от компромис с руткит в режим на ядрото е илюстриран чрез екранна снимка по-долу.
Третият тип, модифицирайте главния запис за зареждане(Master Boot Record) , за да получите контрол над системата и да започнете процеса на зареждане на най-ранната възможна точка от последователността на зареждане3. Той крие файлове, модификации на системния регистър, доказателства за мрежови връзки, както и други възможни индикатори, които могат да показват неговото присъствие.
Известни семейства злонамерен софтуер , които използват (Malware)руткит(Rootkit) функционалност
- Win32/Sinowal 13 – Многокомпонентно семейство злонамерен софтуер, който се опитва да открадне чувствителни данни като потребителски имена и пароли за различни системи. Това включва опит за кражба на данни за удостоверяване за различни FTP , HTTP и имейл акаунти, както и идентификационни данни, използвани за онлайн банкиране и други финансови транзакции.
- Win32/Cutwail 15 – Троянски кон(Trojan) , който изтегля и изпълнява произволни файлове. Изтеглените файлове могат да се изпълняват от диск или да се инжектират директно в други процеси. Докато функционалността на изтеглените файлове е променлива, Cutwail обикновено изтегля други компоненти, които изпращат спам. Той използва руткит в режим на ядрото и инсталира няколко драйвера на устройства, за да скрие своите компоненти от засегнатите потребители.
- Win32/Rustock – Многокомпонентно семейство от backdoor троянски коне(Trojans) с активиран руткит, първоначално разработено за подпомагане на разпространението на „спам“ имейл чрез ботнет(botnet) . Ботнет е голяма, контролирана от нападателите мрежа от компрометирани компютри.
Защита срещу руткити
Предотвратяването на инсталирането на руткити е най-ефективният метод за избягване на заразяване с руткити. За целта е необходимо да се инвестира в защитни технологии като антивирусни и защитни стени. Такива продукти трябва да използват цялостен подход към защитата, като използват традиционно откриване, базирано на сигнатури, евристично откриване, динамични и отзивчиви възможности за подпис и наблюдение на поведението.
Всички тези набори от подписи трябва да се поддържат актуални с помощта на автоматизиран механизъм за актуализиране. Антивирусните решения на Microsoft(Microsoft) включват редица технологии, създадени специално за смекчаване на руткитите, включително наблюдение на поведението на ядрото на живо, което открива и докладва за опити за модифициране на ядрото на засегнатата система, и директен анализ на файловата система, който улеснява идентифицирането и премахването на скрити драйвери.
Ако се установи, че системата е компрометирана, допълнителен инструмент, който ви позволява да стартирате в известна добра или надеждна среда, може да се окаже полезен, тъй като може да предложи някои подходящи мерки за отстраняване.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)
При такива обстоятелства,
- Инструментът за самостоятелна система за почистване(Standalone System Sweeper) (част от набора инструменти за диагностика(Diagnostics) и възстановяване на (Recovery Toolset)Microsoft ( DaRT )
- Windows Defender Offline може да бъде полезен.
За повече информация можете да изтеглите PDF отчета от Центъра за изтегляне на Microsoft.(Microsoft Download Center.)
Related posts
Как да избегнем фишинг измами и атаки?
Какво е троянски кон за отдалечен достъп? Предотвратяване, откриване и отстраняване
Премахнете вируса от USB флаш устройство с помощта на командния ред или пакетния файл
Мошен софтуер за сигурност или Scareware: Как да проверите, предотвратите, премахнете?
Какво е Win32:BogEnt и как да го премахнете?
Как да премахнете зловреден софтуер от вашия компютър в Windows 10
Съвети за защита на вашия компютър от атака Thunderspy
Пакет софтуер: определение, превенция, ръководство за премахване
Какво е IDP.generic virus и как да го премахнете?
Crystal Security е безплатен облачно базиран инструмент за откриване на злонамерен софтуер за компютър
Най-добрият безплатен софтуер за премахване на шпионски и злонамерен софтуер
Най-добрите скенери за вируси и злонамерен софтуер ГАРАНТИРАНО да елиминират всеки вирус
Изпращане на зловреден софтуер: Къде да изпратите файлове със зловреден софтуер на Microsoft и други?
Какво е CandyOpen? Как да премахнете CandyOpen от Windows 10?
Как да деинсталирате или премахнете Driver Tonic от Windows 10
Посоченият модул не може да бъде намерен грешка в Windows 11/10
3 начина да се отървете от вируси, шпионски софтуер и злонамерен софтуер
Как Microsoft идентифицира злонамерен софтуер и потенциално нежелани приложения
Проверете дали компютърът ви е заразен от ASUS Update Malware
Отвличане на браузър и безплатни инструменти за премахване на похитители на браузъри