rootkit-urile există de aproape 20 de ani, permițând atacatorilor să aibă acces și să fure date de la mașinile utilizatorilor fără a fi detectate pentru perioade lungi de timp. Termenul este aplicat în mod liber unui subset de instrumente malware care sunt concepute special pentru a rămâne ascunse pe computerele infectate și pentru a permite atacatorului să controleze de la distanță computerul. Pentru a ajuta utilizatorii să înțeleagă ce este un rootkit și cum funcționează unul, am pus împreună un explicator pe acest tip de malware și ce să facă în cazul în care unul infectează computerul.,Rootkit este un termen aplicat unui tip de malware care este proiectat să infecteze un computer țintă și să permită unui atacator să instaleze un set de instrumente care îi acordă acces persistent la distanță la computer. De obicei, malware-ul va fi ascuns adânc în sistemul de operare și va fi proiectat pentru a evita detectarea de către aplicațiile anti-malware și alte instrumente de securitate., Rootkit-ul poate conține orice număr de instrumente rău intenționate, cum ar fi un logger de apăsare de tastă, un hoț de parole, un modul pentru furtul cardului de credit sau a informațiilor bancare online, un bot pentru atacuri DDoS sau funcționalități care pot dezactiva software-ul de securitate. Rootkit-urile acționează de obicei ca un backdoor care oferă atacatorului posibilitatea de a se conecta de la distanță la mașina infectată ori de câte ori alege și elimină sau instalează componente specifice. Câteva exemple de rootkit-uri bazate pe Windows în uz activ astăzi includ TDSS, ZeroAccess, Alureon și Necurs.,cele două tipuri principale de rootkit-uri sunt rootkit-uri în modul utilizator și rootkit-uri în modul kernel. Rootkit-urile în modul utilizator sunt concepute pentru a rula în aceeași parte a sistemului de operare al computerului ca și aplicațiile. Ei își execută comportamentul rău intenționat prin deturnarea proceselor de aplicație care rulează pe mașină sau prin suprascrierea memoriei pe care o folosește o aplicație. Aceasta este cea mai frecventă dintre cele două tipuri. Rootkit-urile în modul Kernel rulează la cel mai scăzut nivel al sistemului de operare al PC-ului și oferă atacatorului cel mai puternic set de privilegii de pe computer., După instalarea unui kernel-mode rootkit, și atacator ar avea un control complet al computerului compromis și ar avea capacitatea de a lua orice acțiune pe el a ales. Rootkit-urile în modul Kernel sunt de obicei mai complexe decât rootkit-urile în modul utilizator și, prin urmare, sunt mai puțin frecvente. Acest tip de rootkit este, de asemenea, mai dificil de detectat și eliminat.Rootkit este un termen aplicat unui tip de malware care este proiectat să infecteze un computer țintă și să permită unui atacator să instaleze un set de instrumente care îi acordă acces persistent la distanță la computer.,
există și câteva variante de rootkit mai puțin obișnuite, cum ar fi bootkit-urile, care sunt concepute pentru a modifica încărcătorul de boot al computerului, software-ul de nivel scăzut care rulează înainte de încărcarea sistemului de operare. În ultimii ani, a apărut o nouă clasă de rootkit-uri mobile pentru a ataca smartphone-urile, în special dispozitivele Android. Aceste rootkit-uri sunt adesea asociate cu o aplicație rău intenționată descărcată dintr-un magazin de aplicații sau forum terț.,rootkit-urile sunt instalate printr-o varietate de metode, dar cel mai frecvent vector de infecție este prin utilizarea unei vulnerabilități în sistemul de operare sau a unei aplicații care rulează pe computer. Atacatorii vizează vulnerabilități cunoscute și necunoscute în sistemul de operare și aplicații și folosesc codul de exploatare pentru a obține o poziție privilegiată pe mașina țintă. Apoi instalează rootkit-ul și configurează componente care permit accesul la distanță la computer. Codul de exploatare pentru o vulnerabilitate specifică poate fi găzduit pe un site web legitim care a fost compromis., Un alt vector de infecție este prin intermediul unităților USB infectate. Atacatorii pot lăsa unități USB cu rootkit-uri ascunse pe ele în locuri unde este posibil să fie găsite și ridicate de victime, cum ar fi clădiri de birouri, cafenele și centre de conferințe. În unele cazuri, instalarea rootkit se poate baza în continuare pe vulnerabilități de securitate, dar în altele, malware-ul se poate instala ca parte a unei aplicații sau a unui fișier aparent legitim de pe unitatea USB.,detectarea prezenței unui rootkit pe un computer poate fi dificilă, deoarece acest tip de malware este proiectat să rămână ascuns și să-și facă afacerea în fundal. Există utilități concepute pentru a căuta tipuri cunoscute și necunoscute de rootkit-uri prin diverse metode, inclusiv folosind semnături sau o abordare comportamentală care încearcă să detecteze un rootkit căutând modele de comportament cunoscute. Eliminarea unui rootkit este un proces complex și necesită de obicei utilizarea unor instrumente specializate, cum ar fi utilitarul TDSSKiller de la Kaspersky Lab care poate detecta și elimina rootkit-ul TDSS., În unele cazuri, poate fi necesar ca victima să reinstaleze sistemul de Operare dacă computerul este prea deteriorat.