Rootkit on ollut noin lähes 20 vuotta, mikä mahdollistaa hyökkääjän saada pääsyn ja varastaa tietoja käyttäjille’ koneet huomaamatta pitkäksi aikaa. Termi on löyhästi soveltaa osajoukko malware työkaluja, jotka on suunniteltu erityisesti pysymään piilossa tartunnan tietokoneet ja mahdollistaa hyökkääjän kauko-ohjata PC. Auttaa käyttäjiä ymmärtämään, mitä rootkit on, ja miten toinen toimii, olemme koonneet explainer tällaista malware ja mitä tehdä, jos yksi saastuttaa tietokoneen.,
Rootkit Määritelmä
Rootkit on termi sovellettu eräänlainen haittaohjelmia, jotka on suunniteltu tartuttaa kohde PC ja mahdollistaa hyökkääjän asentaa joukko työkaluja, jotka antavat hänelle pysyviä etäkäytön tietokoneelle. Haittaohjelma on tyypillisesti piilotettu syvälle käyttöjärjestelmään, ja se on suunniteltu välttämään havaitsemista haittaohjelmien torjuntasovelluksilla ja muilla tietoturvatyökaluilla., Rootkit voi sisältää minkä tahansa määrän haittaohjelmia työkaluja, kuten näppäilyn metsuri, password stealer, moduuli varastaa luottokortin tai verkkopankin tietoja, botti DDoS hyökkäykset tai toiminnallisuutta, joka voi poistaa security-ohjelmisto. Rootkit tyypillisesti toimii takaoven, joka antaa hyökkääjälle mahdollisuuden muodostaa etäyhteyden tartunnan kone, kun hän valitsee ja poistaa tai asentaa tiettyjä osia. Esimerkkejä Windows-pohjainen rootkit aktiivisessa käytössä tänään ovat TDSS, ZeroAccess, Alureon ja Necurs.,
Rootkit variantit
rootkit ovat käyttäjätilan rootkit ja ytimen moodin rootkit. Käyttäjätilan rootkit on suunniteltu toimimaan samassa osassa tietokoneen käyttöjärjestelmää kuin Sovellukset. Ne suorittaa heidän ilkeä käytös kaappauksesta sovellus prosesseja käynnissä koneen tai korvaamalla muistin, että sovellus käyttää. Tämä on yleisempää näistä kahdesta tyypistä. Kernel-mode rootkit toimivat tietokoneen käyttöjärjestelmän alimmalla tasolla ja antavat hyökkääjälle tehokkaimmat oikeudet tietokoneella., Kun asennus on kernel-mode rootkit, ja hyökkääjä olisi täydellinen valvonta vaarantaa tietokoneen ja olisi kyky ryhtyä toimiin, sitä hän valitsi. Kernel-moodirotkit ovat tyypillisesti käyttäjätilan rootkitseja monimutkaisempia ja siksi harvinaisempia. Tällainen rootkit on myös vaikeampi havaita ja poistaa.
On olemassa muutamia vähemmän-yhteisen rootkit vaihtoehdot sekä, kuten bootkits, joka on suunniteltu muuttaa tietokoneen boot loader, matalan tason ohjelmisto, joka toimii ennen käyttöjärjestelmän kuormia. Viime vuosina älypuhelimiin, erityisesti Android-laitteisiin, on noussut Uusi mobiilirotkiittiluokka. Nämä rootkit liittyvät usein haitalliseen sovellukseen, joka on ladattu kolmannen osapuolen sovelluskaupasta tai foorumilta.,
Tapa Infektio,
Rootkit on asennettu kautta erilaisia menetelmiä, mutta yleisin infektio vektori on käyttämällä haavoittuvuuden käyttöjärjestelmä tai sovellus on käynnissä tietokoneessa. Hyökkääjät kohdistavat OS: n ja sovellusten tunnettuja ja tuntemattomia haavoittuvuuksia ja käyttävät exploit-koodia saadakseen etuoikeutetun aseman kohdekoneessa. Tämän jälkeen he asentavat rootkit ja perustavat komponentteja, jotka mahdollistavat etäyhteyden tietokoneeseen. Tietyn haavoittuvuuden hyväksikäyttökoodi voidaan isännöidä laillisella verkkosivustolla, joka on vaarantunut., Toinen tartuntavektori on tartunnan saaneiden USB-asemien kautta. Hyökkääjät voivat jättää USB-asemat rootkit piilotettu niitä paikkoja, joissa ne ovat todennäköisesti löytyy ja poimi uhrit, kuten toimistorakennukset, kahviloita ja kongressikeskukset. Joissakin tapauksissa, rootkit asennus voi edelleen luottaa tietoturva-aukkoja, mutta muut haittaohjelmat voivat asentaa osana näennäisesti laillisen sovelluksen tai tiedoston USB-asema.,
Poisto
Havaitsemaan rootkit tietokone voi olla vaikeaa, koska tällainen haittaohjelma on suunniteltu pysymään piilossa, ja tehdä sen liiketoiminnan taustalla. On olemassa apuohjelmia suunniteltu etsiä tunnettuja ja tuntemattomia tyyppejä rootkit kautta erilaisia menetelmiä, kuten käyttämällä allekirjoituksia tai käyttäytymiseen lähestymistapa, joka yrittää havaita rootkit etsimällä tunnettu käyttäytymismalleja. Poistaa rootkit on monimutkainen prosessi ja vaatii tyypillisesti käyttää erikoistuneita työkaluja, kuten TDSSKiller apuohjelma Kaspersky Lab, joka voi havaita ja poistaa TDSS rootkit., Joissakin tapauksissa voi olla tarpeen, että uhri asentaa käyttöjärjestelmän uudelleen, jos tietokone on liian vaurioitunut.