Въпреки че е възможно да се скрие зловреден софтуер по начин, който ще заблуди дори традиционните антивирусни/антишпионски продукти, повечето програми за злонамерен софтуер вече използват руткити, за да се скрият дълбоко на вашия компютър с Windows ... и те стават все по-опасни! DL3 руткитът е един от най-модерните руткити, виждани някога в дивата природа. Руткитът беше стабилен и можеше да зарази 32-битови операционни системи Windows ; въпреки че бяха необходими администраторски права за инсталиране на инфекцията в системата. Но TDL3 вече е актуализиран и вече може да зарази дори 64-битови версии на Windows^{(even 64-bit versions  Windows)} !

Какво е руткит

Руткит вирусът е скрит тип зловреден софтуер  , който е предназначен да скрие съществуването на определени процеси или програми на вашия компютър от редовни методи за откриване, така че да позволи на него или на друг злонамерен процес привилегирован достъп до вашия компютър.

Руткитите за Windows^{(Rootkits for Windows)} обикновено се използват за скриване на злонамерен софтуер от, например, антивирусна програма. Използва се за злонамерени цели от вируси, червеи, бекдори и шпионски софтуер. Вирус, комбиниран с руткит, произвежда това, което е известно като пълни стелт вируси. Руткитовете са по-често срещани в областта на шпионски софтуер и сега стават все по-често използвани и от авторите на вируси.

Сега те са нововъзникващ тип супер шпионски софтуер^{(Super Spyware)} , който крие ефективно и влияе директно върху ядрото на операционната система. Те се използват, за да скрият наличието на злонамерен обект като троянски коне или кейлогъри на вашия компютър. Ако заплахата използва руткит технология, за да скрие, е много трудно да се намери зловреден софтуер на вашия компютър.

Руткитовете сами по себе си не са опасни. Единствената им цел е да скрият софтуера и следите, останали в операционната система. Независимо дали това е нормален софтуер или злонамерен софтуер.

Има основно три различни типа руткит^(Rootkit) . Първият тип, „ Kernel Rootkits “ обикновено добавят свой собствен код към части от ядрото на операционната система, докато вторият вид, „ Rutkits в потребителски режим^{(User-mode Rootkits)} “, са специално насочени към Windows , за да се стартира нормално по време на стартиране на системата, или се инжектира в системата чрез т. нар. „Капкомер“. Третият тип са MBR Rootkits или Bootkits^{(MBR Rootkits or Bootkits)} .

Когато установите, че вашият антивирус^(AntiVirus) и антишпионски^{(AntiSpyware)} софтуер не работи, може да се наложи да се възползвате от добра помощна програма за защита от руткит^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} . RootkitRevealer от Microsoft Sysinternals е усъвършенствана програма за откриване на руткит. Неговият изход изброява несъответствията на API на ^(API)системния регистър^(Registry) и файловата система , които могат да показват наличието на руткит в режим на потребител или на ядрото.

Доклад за заплахи в Центъра за защита от злонамерен софтуер на Microsoft^{(Microsoft Malware Protection Center Threat Report)} за  руткити^(Rootkits)

Центърът за защита от злонамерен софтуер на Microsoft^{(Microsoft Malware Protection Center)} предостави за изтегляне своя доклад за заплахите^{(Threat Report)} за руткитове^(Rootkits) . Докладът разглежда един от най-коварните видове злонамерен софтуер, заплашващ организации и лица днес – руткитът. Докладът разглежда как нападателите използват руткити и как функционират руткитите на засегнатите компютри. Ето същината на доклада, започвайки с това какво представляват руткитите^(Rootkits) – за начинаещи.

Руткитът^(Rootkit) е набор от инструменти, които нападател или създател на зловреден софтуер използва, за да получи контрол върху всяка открита/незащитена система, която иначе обикновено е запазена за системен администратор. През последните години терминът „ROOTKIT“ или „ROOTKIT FUNCTIONALITY“ беше заменен от MALWARE – програма, предназначена да има нежелани ефекти върху здравия компютър. Основната функция на злонамерения софтуер е тайно да изтегли ценни данни и други ресурси от компютъра на потребителя и да ги предостави на нападателя, като по този начин му даде пълен контрол над компрометирания компютър. Освен това те са трудни за откриване и премахване и могат да останат скрити за продължителни периоди, вероятно години, ако останат незабелязани.

Така че естествено, симптомите на компрометиран компютър трябва да бъдат маскирани и взети под внимание, преди изходът да се окаже фатален. По-специално, трябва да се вземат по-строги мерки за сигурност, за да се разкрие атаката. Но, както споменахме, след като тези руткити/зловреден софтуер бъдат инсталирани, неговите стелт възможности затрудняват премахването му и неговите компоненти, които може да изтегли. Поради тази причина Microsoft създаде доклад за ROOTKITS .

Докладът от 16 страници очертава как нападателят използва руткити и как тези руткити функционират на засегнатите компютри.

Единствената цел на доклада е да идентифицира и внимателно проучи мощен зловреден софтуер, заплашващ много организации, в частност потребители на компютри. Той също така споменава някои от преобладаващите семейства зловреден софтуер и извежда на бял свят метода, който нападателите използват, за да инсталират тези руткити за свои собствени егоистични цели в здрави системи. В останалата част от доклада ще намерите експерти, които дават някои препоръки, за да помогнат на потребителите да смекчат заплахата от руткитове.

Видове руткити

Има много места, където зловреден софтуер може да се инсталира сам в операционна система. Така че, най-вече типът на руткит се определя от местоположението му, където извършва подмяната на пътя на изпълнение. Това включва:

1. Руткити за потребителски режим
2. Руткити в режим на ядрото
3. MBR руткити/буткити

Възможният ефект от компромис с руткит в режим на ядрото е илюстриран чрез екранна снимка по-долу.

Третият тип, модифицирайте главния запис за зареждане^{(Master Boot Record)} , за да получите контрол над системата и да започнете процеса на зареждане на най-ранната възможна точка от последователността на зареждане3. Той крие файлове, модификации на системния регистър, доказателства за мрежови връзки, както и други възможни индикатори, които могат да показват неговото присъствие.

Известни семейства злонамерен софтуер , които използват ^(Malware)руткит^(Rootkit) функционалност

• Win32/Sinowal 13 – Многокомпонентно семейство злонамерен софтуер, който се опитва да открадне чувствителни данни като потребителски имена и пароли за различни системи. Това включва опит за кражба на данни за удостоверяване за различни FTP , HTTP и имейл акаунти, както и идентификационни данни, използвани за онлайн банкиране и други финансови транзакции.
• Win32/Cutwail 15 – Троянски кон^(Trojan) , който изтегля и изпълнява произволни файлове. Изтеглените файлове могат да се изпълняват от диск или да се инжектират директно в други процеси. Докато функционалността на изтеглените файлове е променлива, Cutwail обикновено изтегля други компоненти, които изпращат спам. Той използва руткит в режим на ядрото и инсталира няколко драйвера на устройства, за да скрие своите компоненти от засегнатите потребители.
• Win32/Rustock  – Многокомпонентно семейство от backdoor троянски коне^(Trojans) с активиран руткит, първоначално разработено за подпомагане на разпространението на „спам“ имейл чрез ботнет^(botnet) . Ботнет е голяма, контролирана от нападателите мрежа от компрометирани компютри.

Защита срещу руткити

Предотвратяването на инсталирането на руткити е най-ефективният метод за избягване на заразяване с руткити. За целта е необходимо да се инвестира в защитни технологии като антивирусни и защитни стени. Такива продукти трябва да използват цялостен подход към защитата, като използват традиционно откриване, базирано на сигнатури, евристично откриване, динамични и отзивчиви възможности за подпис и наблюдение на поведението.

Всички тези набори от подписи трябва да се поддържат актуални с помощта на автоматизиран механизъм за актуализиране. Антивирусните решения на Microsoft^(Microsoft) включват редица технологии, създадени специално за смекчаване на руткитите, включително наблюдение на поведението на ядрото на живо, което открива и докладва за опити за модифициране на ядрото на засегнатата система, и директен анализ на файловата система, който улеснява идентифицирането и премахването на скрити драйвери.

Ако се установи, че системата е компрометирана, допълнителен инструмент, който ви позволява да стартирате в известна добра или надеждна среда, може да се окаже полезен, тъй като може да предложи някои подходящи мерки за отстраняване.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

При такива обстоятелства,

1. Инструментът за самостоятелна система за почистване^{(Standalone System Sweeper)} (част от набора инструменти за диагностика^{(Diagnostics)} и възстановяване на ^{(Recovery Toolset)}Microsoft ( DaRT )
2. Windows Defender Offline може да бъде полезен.

За повече информация можете да изтеглите PDF отчета от Центъра за изтегляне на Microsoft.^{(Microsoft Download Center.)}

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is poѕsible to hide malware in a way that will fool even the trаditional аntivіrus/antispyware products, most malware programs are already uѕing rootkits to hide deep on your Windows РC … and they are getting more dangerous! The DL3 rootkit is one of the most advanced roоtkits ever seen in the wild. The rootkit was stable and could infect 32 bit Windows operating systems; аlthough administrator rights were needed to install the infection іn the system. But TDL3 has now been updated and is now ablе to infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Как да избегнем фишинг измами и атаки?

• Какво е троянски кон за отдалечен достъп? Предотвратяване, откриване и отстраняване

• Премахнете вируса от USB флаш устройство с помощта на командния ред или пакетния файл

• Мошен софтуер за сигурност или Scareware: Как да проверите, предотвратите, премахнете?

• Какво е Win32:BogEnt и как да го премахнете?

• Как да премахнете зловреден софтуер от вашия компютър в Windows 10

• Съвети за защита на вашия компютър от атака Thunderspy

• Пакет софтуер: определение, превенция, ръководство за премахване

• Какво е IDP.generic virus и как да го премахнете?

• Crystal Security е безплатен облачно базиран инструмент за откриване на злонамерен софтуер за компютър

• Най-добрият безплатен софтуер за премахване на шпионски и злонамерен софтуер

• Най-добрите скенери за вируси и злонамерен софтуер ГАРАНТИРАНО да елиминират всеки вирус

• Изпращане на зловреден софтуер: Къде да изпратите файлове със зловреден софтуер на Microsoft и други?

• Какво е CandyOpen? Как да премахнете CandyOpen от Windows 10?

• Как да деинсталирате или премахнете Driver Tonic от Windows 10

• Посоченият модул не може да бъде намерен грешка в Windows 11/10

• 3 начина да се отървете от вируси, шпионски софтуер и злонамерен софтуер

• Как Microsoft идентифицира злонамерен софтуер и потенциално нежелани приложения

• Проверете дали компютърът ви е заразен от ASUS Update Malware

• Отвличане на браузър и безплатни инструменти за премахване на похитители на браузъри