Phenquestions
Walaupun mungkin untuk menyembunyikan perisian hasad dengan cara yang akan menipu walaupun produk antivirus / antispyware tradisional, kebanyakan program perisian hasad sudah menggunakan rootkit untuk menyembunyikan jauh di PC Windows anda ... dan mereka menjadi lebih berbahaya! Rootkit DL3 adalah salah satu rootkit paling maju yang pernah dilihat di alam liar. Rootkit stabil dan boleh menjangkiti sistem operasi Windows 32 bit; walaupun hak pentadbir diperlukan untuk memasang jangkitan dalam sistem. Tetapi TDL3 kini telah diperbaharui dan kini dapat menjangkiti malah Windows versi 64-bit!
Apa itu Rootkit
Virus Rootkit adalah jenis malware tersembunyi yang dirancang untuk menyembunyikan keberadaan proses atau program tertentu di komputer anda dari kaedah pengesanan biasa, sehingga memungkinkannya atau proses berbahaya lain yang diakses khas ke komputer anda.
Kit Root untuk Windows biasanya digunakan untuk menyembunyikan perisian berbahaya dari, misalnya, program antivirus. Ini digunakan untuk tujuan jahat oleh virus, worm, backdoor, dan spyware. Virus yang digabungkan dengan rootkit menghasilkan apa yang dikenali sebagai virus stealth penuh. Rootkits lebih biasa di bidang spyware, dan kini juga menjadi lebih biasa digunakan oleh pengarang virus juga.
Mereka sekarang merupakan jenis Super Spyware yang baru muncul yang menyembunyikan secara berkesan & memberi kesan langsung pada kernel sistem operasi. Mereka digunakan untuk menyembunyikan kehadiran objek berbahaya seperti trojan atau keyloggers di komputer anda. Sekiranya ancaman menggunakan teknologi rootkit untuk menyembunyikannya, sangat sukar untuk mencari perisian hasad pada PC anda.
Rootkit dalam diri mereka tidak berbahaya. Tujuan mereka hanyalah untuk menyembunyikan perisian dan jejak yang tertinggal dalam sistem operasi. Sama ada ini adalah perisian biasa atau program perisian hasad.
Pada dasarnya terdapat tiga jenis Rootkit. Jenis pertama, "Kernel Rootkits"Biasanya menambah kod mereka sendiri ke bahagian inti sistem operasi, sedangkan jenis kedua,"Rootkit mod pengguna"Disasarkan khas kepada Windows untuk memulakan secara normal semasa sistem dimulakan, atau dimasukkan ke dalam sistem oleh apa yang disebut" Dropper ". Jenis ketiga adalah Rootkits MBR atau Bootkit.
Apabila anda mendapati AntiVirus & AntiSpyware anda gagal, anda mungkin perlu meminta bantuan a Utiliti Anti-Rootkit yang baik. RootkitRevealer dari Microsoft Sysinternals adalah utiliti pengesanan rootkit maju. Keluarannya menyenaraikan perbezaan API sistem pendaftaran dan fail yang mungkin menunjukkan adanya modkit mod pengguna atau kernel.
Laporan Ancaman Pusat Perlindungan Malware Microsoft mengenai Rootkits
Pusat Perlindungan Malware Microsoft telah disediakan untuk memuat turun Laporan Ancamannya mengenai Rootkits. Laporan ini meneliti salah satu jenis malware dan organisasi yang mengancam malware hari ini - rootkit. Laporan tersebut mengkaji bagaimana penyerang menggunakan rootkit, dan bagaimana rootkit berfungsi pada komputer yang terjejas. Berikut adalah inti laporan, bermula dengan apa itu Rootkits - untuk pemula.
Rootkit adalah sekumpulan alat yang digunakan oleh penyerang atau pencipta perisian hasad untuk mendapatkan kawalan ke atas sistem yang terdedah / tidak selamat yang sebaliknya biasanya disediakan untuk pentadbir sistem. Dalam beberapa tahun kebelakangan, istilah 'ROOTKIT' atau 'ROOTKIT FUNCTIONALITY' telah digantikan oleh MALWARE - program yang dirancang untuk memberi kesan yang tidak diingini pada komputer yang sihat. Fungsi utama perisian hasad adalah untuk menarik data berharga dan sumber lain dari komputer pengguna secara diam-diam dan memberikannya kepada penyerang, sehingga memberikannya kawalan sepenuhnya terhadap komputer yang terganggu. Lebih-lebih lagi, mereka sukar untuk dikesan dan dikeluarkan dan dapat disembunyikan untuk jangka masa yang panjang, mungkin bertahun-tahun, jika tidak disedari.
Jadi secara semula jadi, gejala komputer yang disusupi perlu disembunyikan dan dipertimbangkan sebelum hasilnya terbukti membawa maut. Terutama, langkah keselamatan yang lebih ketat harus diambil untuk mengungkap serangan tersebut. Tetapi, seperti yang disebutkan, setelah rootkit / malware ini dipasang, kemampuan silumannya menyukarkannya untuk membuangnya dan komponennya yang mungkin dimuat turun. Atas sebab ini, Microsoft telah membuat laporan mengenai ROOTKITS.
Laporan 16 halaman menggariskan bagaimana penyerang menggunakan rootkit dan bagaimana rootkit ini berfungsi pada komputer yang terjejas.
Tujuan tunggal laporan ini adalah untuk mengenal pasti dan memeriksa secara dekat malware berbahaya yang mengancam banyak organisasi, khususnya pengguna komputer. Ini juga menyebutkan beberapa keluarga malware yang lazim dan mengemukakan kaedah yang digunakan penyerang untuk memasang rootkit ini untuk tujuan mementingkan diri sendiri pada sistem yang sihat. Di baki laporan, anda akan menemui pakar yang membuat beberapa cadangan untuk membantu pengguna mengurangkan ancaman dari rootkit.
Jenis Rootkit
Terdapat banyak tempat di mana perisian hasad dapat dipasang sendiri ke dalam sistem operasi. Jadi, kebanyakan jenis rootkit ditentukan oleh lokasinya di mana ia melakukan penukaran jalan pelaksanaannya. Ini termasuk:
- Rootkit Mod Pengguna
- Rootkit Mod Kernel
- Rootkits / bootkit MBR
Kemungkinan kesan kompromi rootkit mod kernel digambarkan melalui tangkapan skrin di bawah.
Jenis ketiga, ubah Master Boot Record untuk menguasai sistem dan memulakan proses memuatkan titik seawal mungkin dalam urutan boot3. Ini menyembunyikan fail, pengubahsuaian pendaftaran, bukti sambungan rangkaian serta petunjuk lain yang mungkin menunjukkan keberadaannya.
Keluarga Malware terkenal yang menggunakan fungsi Rootkit
- Win32 / Sinowal13 - Keluarga malware pelbagai komponen yang cuba mencuri data sensitif seperti nama pengguna dan kata laluan untuk sistem yang berbeza. Ini termasuk percubaan untuk mencuri butiran pengesahan untuk pelbagai akaun FTP, HTTP, dan e-mel, serta bukti kelayakan yang digunakan untuk perbankan dalam talian dan transaksi kewangan lain.
- Win32 / Cutwail15 - Trojan yang memuat turun dan melaksanakan fail sewenang-wenangnya. Fail yang dimuat turun boleh dijalankan dari cakera atau disuntik terus ke proses lain. Walaupun fungsi fail yang dimuat turun berubah-ubah, Cutwail biasanya memuat turun komponen lain yang menghantar spam. Ia menggunakan rootkit mod kernel dan memasang beberapa pemacu peranti untuk menyembunyikan komponennya dari pengguna yang terjejas.
- Win32 / Rustock - Keluarga keluarga Trojan backdoor berkemampuan rootkit berbilang komponen pada mulanya dikembangkan untuk membantu menyebarkan e-mel "spam" melalui botnet. Botnet adalah rangkaian komputer yang dikompromikan oleh penyerang yang besar.
Perlindungan daripada rootkit
Mencegah pemasangan rootkit adalah kaedah yang paling berkesan untuk mengelakkan jangkitan oleh rootkit. Untuk ini, perlu melabur dalam teknologi pelindung seperti produk anti-virus dan firewall. Produk sedemikian harus mengambil pendekatan komprehensif terhadap perlindungan dengan menggunakan pengesanan berdasarkan tanda tangan tradisional, pengesanan heuristik, kemampuan tanda tangan dinamik dan responsif dan pemantauan tingkah laku.
Semua set tandatangan ini harus dikemas kini menggunakan mekanisme kemas kini automatik. Penyelesaian antivirus Microsoft merangkumi sejumlah teknologi yang dirancang khusus untuk mengurangkan rootkit, termasuk pemantauan tingkah laku kernel langsung yang mengesan dan melaporkan percubaan untuk mengubah kernel sistem yang terjejas, dan penguraian sistem fail langsung yang memudahkan pengenalan dan penghapusan pemacu tersembunyi.
Sekiranya sistem didapati disusupi maka alat tambahan yang membolehkan anda melakukan boot ke persekitaran yang diketahui baik atau dipercayai mungkin berguna kerana mungkin mencadangkan beberapa langkah pemulihan yang sesuai.
Dalam keadaan seperti itu,
- Alat Penyapu Sistem Berdiri (sebahagian daripada Alat Diagnostik dan Pemulihan Microsoft (DaRT)
- Windows Defender Offline mungkin berguna.
Untuk maklumat lebih lanjut, anda boleh memuat turun laporan PDF dari Pusat Muat turun Microsoft.
