Bár lehetséges olyan módon elrejteni a rosszindulatú programokat, amelyek még a hagyományos vírusirtó/kémprogram-elhárító termékeket is megtévesztik, a legtöbb rosszindulatú program már rootkitet használ, hogy elrejtse magát a Windows PC-n… és egyre veszélyesebbek! A DL3 rootkit az egyik legfejlettebb rootkit, amelyet valaha a vadonban láttak. A rootkit stabil volt, és képes volt megfertőzni a 32 bites Windows operációs rendszereket; bár rendszergazdai jogokra volt szükség a fertőzés telepítéséhez a rendszerben. De a TDL3 most frissült, és már a Windows 64 bites verzióit is^{(even 64-bit versions  Windows)} képes megfertőzni !

Mi az a Rootkit

A Rootkit vírus egy lopakodó típusú rosszindulatú program  , amelyet arra terveztek, hogy elrejtse bizonyos folyamatok vagy programok létezését a számítógépén a szokásos észlelési módszerek elől, hogy lehetővé tegye számukra vagy egy másik rosszindulatú folyamat számára kiváltságos hozzáférést a számítógéphez.

A Windows rootkitjeit^{(Rootkits for Windows)} általában a rosszindulatú szoftverek elrejtésére használják, például egy víruskereső program elől. Vírusok, férgek, hátsó ajtók és kémprogramok rosszindulatú célokra használják. A rootkittel kombinált vírusok úgynevezett full stealth vírusokat termelnek. A rootkitek egyre elterjedtebbek a kémprogramok területén, és a vírusok szerzői is egyre gyakrabban használják őket.

Manapság a Super Spyware egy feltörekvő típusa, amely hatékonyan elrejti és közvetlenül befolyásolja az operációs rendszer kernelt. A rosszindulatú objektumok, például trójai programok vagy billentyűnaplózók jelenlétének elrejtésére szolgálnak a számítógépen. Ha egy fenyegetés rootkit technológiát használ, hogy elrejtse, nagyon nehéz megtalálni a kártevőt a számítógépen.

A rootkitek önmagukban nem veszélyesek. Egyetlen céljuk a szoftverek és az operációs rendszerben hagyott nyomok elrejtése. Legyen szó normál szoftverről vagy rosszindulatú programról.

Alapvetően három különböző típusú Rootkit létezik . Az első típus, a „ Kernel Rootkit^{(Kernel Rootkits)} ” rendszerint saját kódot ad hozzá az operációs rendszer magjának egyes részeihez, míg a második típus, a „ Felhasználói módú gyökérkészletek^{(User-mode Rootkits)} ” kifejezetten a Windows rendszert célozzák meg, hogy a rendszerindítás során a szokásos módon induljanak el. vagy úgynevezett „Cseppentővel” fecskendezik be a rendszerbe. A harmadik típus az MBR Rootkit vagy Bootkit^{(MBR Rootkits or Bootkits)} .

Ha úgy találja, hogy az AntiVirus és AntiSpyware meghibásodik, előfordulhat, hogy egy jó Anti-Rootkit segédprogramot^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} kell igénybe vennie . A Microsoft Sysinternals RootkitRevealer egy fejlett rootkit-észlelő segédprogram. Kimenete felsorolja a rendszerleíró adatbázis^(Registry) és a fájlrendszer API eltéréseit, amelyek felhasználói módú vagy kernel módú rootkit jelenlétére utalhatnak.

A Microsoft Malware Protection Center fenyegetésjelentése^{(Microsoft Malware Protection Center Threat Report)} a  rootkitekről^(Rootkits)

A Microsoft Malware Protection Center^{(Microsoft Malware Protection Center)} letölthetővé tette a gyökérkészletekről^(Rootkits) szóló fenyegetésjelentését^{(Threat Report)} . A jelentés a szervezeteket és magánszemélyeket fenyegető rosszindulatú programok egyik alattomos típusát vizsgálja manapság – a rootkitet. A jelentés megvizsgálja, hogy a támadók hogyan használják a rootkiteket, és hogyan működnek a rootkitek az érintett számítógépeken. Íme a jelentés lényege, kezdve azzal, hogy mik azok a Rootkitek^(Rootkits) – kezdőknek.

A Rootkit^(Rootkit) egy olyan eszközkészlet, amelyet egy támadó vagy egy rosszindulatú program létrehozója használ, hogy átvegye az irányítást minden olyan nyílt/nem biztonságos rendszer felett, amely egyébként általában a rendszergazdák számára van fenntartva. Az elmúlt években a „ROOTKIT” vagy „ROOTKIT FUNKCIONALITÁS” kifejezést felváltotta a MALWARE – egy olyan program, amely nemkívánatos hatásokat fejt ki egy egészséges számítógépre. A rosszindulatú programok elsődleges funkciója, hogy értékes adatokat és egyéb erőforrásokat távolítson el a felhasználó számítógépéről, és átadja azokat a támadónak, ezáltal teljes ellenőrzést biztosítva a feltört számítógép felett. Ezenkívül nehéz észlelni és eltávolítani, és hosszú ideig, esetleg évekig rejtve maradhatnak, ha észrevétlenül maradnak.

Ezért természetesen a kompromittált számítógép tüneteit el kell takarni, és figyelembe kell venni, mielőtt az eredmény végzetesnek bizonyulna. Különösen szigorúbb biztonsági intézkedéseket kell tenni a támadás felderítése érdekében. De amint már említettük, miután ezek a rootkitek/rosszindulatú programok telepítve vannak, a lopakodó képességei megnehezítik azok és esetlegesen letölthető összetevői eltávolítását. Emiatt a Microsoft készített egy jelentést a ROOTKITS -ről .

A 16 oldalas jelentés felvázolja, hogyan használja a támadó rootkiteket, és hogyan működnek ezek a rootkitek az érintett számítógépeken.

A jelentés egyetlen célja, hogy azonosítsa és alaposan megvizsgálja a sok szervezetet, különösen a számítógép-felhasználókat fenyegető rosszindulatú programokat. Megemlít néhány elterjedt rosszindulatú programcsaládot is, és felhívja a figyelmet arra a módszerre, amellyel a támadók ezeket a rootkiteket saját önző céljaikból egészséges rendszerekre telepítik. A jelentés hátralévő részében szakértők javaslataikkal segítik a felhasználókat a rootkitek által okozott fenyegetés mérséklésében.

A rootkitek típusai

Sok hely van, ahol a rosszindulatú programok telepíthetik magukat az operációs rendszerbe. Tehát a rootkit típusát többnyire az határozza meg, hogy hol végzi el a végrehajtási útvonal felforgatását. Ebbe beletartozik:

1. Felhasználói módú rootkitek
2. Kernel módú rootkitek
3. MBR Rootkit/bootkit

A kernel módú rootkit kompromisszum lehetséges hatásait az alábbi képernyőkép szemlélteti.

A harmadik típus a Master Boot Record módosítása , hogy megszerezze az irányítást a rendszer felett, és elindítsa a rendszerindítási sorrend lehető legkorábbi pontjának betöltését3. Elrejti a fájlokat, a rendszerleíró adatbázis módosításait, a hálózati kapcsolatok bizonyítékait, valamint egyéb lehetséges mutatókat, amelyek jelezhetik a jelenlétét.

Figyelemre méltó rosszindulatú^(Malware) programcsaládok, amelyek Rootkit funkciót használnak

• Win32/Sinowal 13 – A rosszindulatú programok több összetevőből álló családja, amely érzékeny adatokat, például felhasználóneveket és jelszavakat próbál ellopni a különböző rendszerek számára. Ez magában foglalja a különféle FTP- , HTTP- és e-mail-fiókok hitelesítési adatainak, valamint az online banki és egyéb pénzügyi tranzakciókhoz használt hitelesítő adatok ellopását.
• Win32/Cutwail 15 – Tetszőleges fájlokat letöltő és végrehajtó trójai . ^(Trojan)A letöltött fájlok végrehajthatók lemezről, vagy közvetlenül beilleszthetők más folyamatokba. Míg a letöltött fájlok funkcionalitása változó, a Cutwail általában más, spamet küldő összetevőket tölt le. Kernel módú rootkitet használ, és több eszköz-illesztőprogramot telepít, hogy elrejtse összetevőit az érintett felhasználók elől.
• Win32/Rustocktrójaiak^(Trojans)  többkomponensű családja, amelyet eredetileg a „spam” e-mailek botneten^(botnet) keresztüli terjesztésének elősegítésére fejlesztettek ki . A botnet egy nagy, támadók által vezérelt hálózat, amely feltört számítógépekből áll.

Rootkitek elleni védelem

A rootkitek telepítésének megakadályozása a leghatékonyabb módszer a rootkitek általi fertőzés elkerülésére. Ehhez be kell ruházni olyan védelmi technológiákba, mint a vírusirtó és tűzfal termékek. Az ilyen termékeknek átfogó megközelítést kell alkalmazniuk a védelem terén, hagyományos aláírás-alapú észlelés, heurisztikus észlelés, dinamikus és reagáló aláírási képesség és viselkedésfigyelés segítségével.

Ezeket az aláíráskészleteket egy automatizált frissítési mechanizmus segítségével naprakészen kell tartani. A Microsoft^(Microsoft) víruskereső megoldásai számos technológiát tartalmaznak, amelyeket kifejezetten a rootkitek visszaszorítására terveztek, beleértve a kernel viselkedésének élő figyelését, amely észleli az érintett rendszer kernelének módosítására tett kísérleteket, és jelentéseket készít azokról, valamint a közvetlen fájlrendszer-elemzést, amely megkönnyíti a rejtett illesztőprogramok azonosítását és eltávolítását.

Ha egy rendszert feltörtek, akkor hasznosnak bizonyulhat egy további eszköz, amely lehetővé teszi a rendszerindítást egy ismert jó vagy megbízható környezetből, mivel megfelelő javítási intézkedéseket javasolhat.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

Ilyen körülmények között

1. A Standalone System Sweeper eszköz (a Microsoft Diagnostics and Recovery Toolset ( DaRT ) része )
2. A Windows Defender Offline hasznos lehet.

További információért letöltheti a PDF -jelentést a Microsoft letöltőközpontjából.^{(Microsoft Download Center.)}

What is Rootkit? How do Rootkits work? Rootkits explained.

While іt is possible to hide malware in a way that will fool even the trаditional antivirus/antisрyware productѕ, most malware programs are already using rootkits to hide deep on your Windows PC … and they are getting more dangerous! The DL3 rootkit is one of the mоst advanced rootkits ever ѕeen in the wild. The rootkit was stable and cоuld infect 32 bit Windows opеrating sуstems; although administrator rights were needed to install the infection in the ѕystem. But TDL3 has now bеen updated and is now able to infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Hogyan kerülhetjük el az adathalász csalásokat és támadásokat?

• Mi az a Remote Access Trojan? Megelőzés, észlelés és eltávolítás

• Távolítsa el a vírust az USB Flash meghajtóról a parancssor vagy kötegfájl segítségével

• Rogue Security Software vagy Scareware: Hogyan lehet ellenőrizni, megelőzni, eltávolítani?

• Mi az a Win32:BogEnt és hogyan lehet eltávolítani?

• Böngésző-eltérítő és ingyenes böngésző-eltérítő-eltávolító eszközök

• Mik azok a Living Off The Land támadások? Hogyan maradjunk biztonságban?

• Microsoft Windows Logo folyamat a Feladatkezelőben; Ez egy vírus?

• Tippek számítógépének Thunderspy támadásokkal szembeni védelméhez

• Mi az IDP.Generic, és hogyan lehet biztonságosan eltávolítani a Windows rendszerből?

• Kibertámadások – meghatározás, típusok, megelőzés

• Mi az a kiberbűnözés? Hogyan kezeljük?

• potenciálisan nemkívánatos programok vagy alkalmazások; Kerülje a PUP/PUA telepítését

• Ingyenes kártevő-eltávolító eszközök bizonyos vírusok eltávolítására a Windows 11/10 rendszerben

• Bundleware: Meghatározás, megelőzés, eltávolítási útmutató

• Az Avast Boot Scan használata a rosszindulatú programok eltávolítására a Windows PC-ről

• A legjobb online rosszindulatú programkeresők a fájlok átvizsgálásához

• Mi az a Backdoor támadás? Jelentés, példák, meghatározások

• A Crystal Security egy ingyenes, felhő alapú kártevő-észlelő eszköz PC-hez

• A Driver Tonic eltávolítása vagy eltávolítása a Windows 10 rendszerből