Rootkit datorā: Lūk, kā jūs varat sevi pasargāt

Satura rādītājs:

Anonim

Atklājiet rootkit un pasargājiet sevi no tā

Lielāko daļu ļaundabīgo programmu, ko izmanto noziedznieki visā pasaulē, upuri neatklāj. Tas ir saistīts arī ar ļaunprātīgu programmatūru, piemēram, rootkit. Mēs jums viegli saprotamā veidā parādīsim, kas ir rootkit, kādi veidi ir pieejami un kā jūs varat no tiem aizsargāt datoru, izmantojot pareizos rīkus.

Kas ir rootkit?

Sakņu komplekts ir ļaunprātīga programmatūra, kas ir paslēpta ļoti dziļi operētājsistēmā. Programmēšanas dēļ rootkit parasti var atklāt un noņemt tikai ar atbilstošu pretvīrusu programmatūru.

Sakņu komplektu galvenā funkcija ir ļaut trešajām personām piekļūt ārvalstu datoram. Jūs varat to vadīt attālināti, manipulēt ar to vai nozagt datus. Rootkit uzbrukumi tiek izmantoti arī, piemēram, lai instalētu programmatūru, ar kuras palīdzību uzbrucēji var attālināti vadīt robottīklu.

Sakņu komplekts parasti sastāv no ļaunprātīgas programmatūras paketes. Sakņu komplektā var būt keyloggers, roboti vai izpirkuma programmatūra.

Info: No kurienes nāk nosaukums "rootkit"?

Termins “rootkit” sastāv no vārdiem “root” (vācu = root = augstākais direktorijs failu sistēmā; lietotājs ar visām administratora tiesībām) un “komplekts” (vācu = set). Sakņu komplekts ir pilnīgi neitrāla programmatūras lietojumprogrammu kolekcija, kas var izmantot administratora tiesības. Bet, kad šīs tiesības tiek izmantotas, lai atkārtoti ielādētu ļaunprātīgu programmatūru, pats sakņu komplekts kļūst par ļaunprātīgu programmatūru.

Sakņu komplekts: Ir šādi veidi

Sakņu komplekti parasti tiek klasificēti, pamatojoties uz dziļumu, kādā tie darbojas attiecīgā datora failu sistēmā.

Lietotāja režīma saknes

Galvenais, ko ietekmē šie sakņu komplekti, ir jūsu datora administratora konts. Ļaunprātīgai programmatūrai ir visas administratora piekļuves priekšrocības failiem vai programmām, un tā, piemēram, var mainīt drošības iestatījumus. Sarežģītā lieta par šiem rootkitiem: tie tiek automātiski palaisti katru reizi, kad dators tiek restartēts.

Kodola modeļa saknes

Šie sakņu komplekti darbojas tieši operētājsistēmas līmenī, un tādējādi tiem ir iespēja manipulēt ar visām operētājsistēmas zonām. Pat vīrusu skenera skenēšana var radīt nepareizus rezultātus, ja tā ir inficēta ar kodola režīma jaunpienācēju. Tomēr kodola sakņu komplektiem ir jāpārvar daudzi šķēršļi, pirms tie var iestrēgt kodolā. Tos parasti pamana iepriekš, piemēram, tāpēc, ka dators nepārtraukti avarē.

Firmware rootkit

Šie sakņu komplekti var implantēt datorsistēmu programmaparatūru. Kad tie ir izdzēsti, tie tiek automātiski atkārtoti instalēti katru reizi, kad restartējat. Tas padara programmaparatūras rootkitus īpaši noturīgus un apgrūtina to noņemšanu.

Zābaku komplekti

Šie sakņu komplekti iestrēgst sāknēšanas sektorā. Startējot datoru, sistēma izmanto galveno sāknēšanas ierakstu. Tur jūs atradīsit arī sāknēšanas komplektu, kas tiek ielādēts katru reizi, kad sākat darbu. Jaunāku Windows operētājsistēmu, piemēram, 8 vai 10., lietotājiem ir svarīga aizsardzība.Šīs versijas jau ir aprīkotas ar drošības sistēmām, kas neļauj startēšanas komplektiem startēt, kad dators ir ieslēgts.

Virtuālie sakņu komplekti

Šie sakņu komplekti instalējas virtuālajā mašīnā un var piekļūt inficētam datoram ārpus faktiskās operētājsistēmas. Tas apgrūtina vīrusu aizsardzības programmatūras noteikšanu.

Hibrīda sakņu komplektiŠie sakņu komplekti sadala programmatūru un instalē tās daļas kodolā un citas daļas lietotāja līmenī. Šie sakņu komplekti ir izdevīgi noziedzniekiem, jo tie darbojas ļoti stabili lietotāja līmenī un vienlaikus darbojas kodolā, t.i., maskējas.

Lai aizsargātos pret šiem mānīgajiem draudiem, vīrusu skeneriem, cita starpā, ir jābūt atjauninātām vīrusu definīcijām.

Kā rootkit nokļūst datorā?

Sakņu komplektiem vienmēr ir vajadzīgs "transportlīdzeklis", ar kuru viņi var implantēties datorā. Parasti sakņu komplekts vienmēr sastāv no trim komponentiem - paša sakņu komplekta, pilinātāja un ielādētāja. Pilinātājs ir salīdzināms ar datorvīrusu, kas inficē jūsu datoru. Tā kā pilinātājs meklē drošības caurumu, lai saglabātu rootkit vēlamajā ierīcē. Pēc tam tiek izmantots iekrāvējs. Tas instalē sakņu komplektu inficētajā datorā, piemēram, kodolā vai lietotāja līmenī, ja tas ir lietotāja režīma saknes komplekts.

Sakņu komplekti nomešanai izmanto šādus datu nesējus:

Messenger

Piemēram, ja, izmantojot kurjeru, saņemat ļaunprātīgu saiti vai failu un atverat saiti vai failu, pilinātājs var ievietot sakņu komplektu jūsu ierīcē.

Uzlauzta programmatūra un lietotnes:

Hakeri var “kontrabandas veidā” ievest uzticamu programmatūru vai lietotnes. Faili tiek izplatīti internetā, piemēram, kā bezmaksas piedāvājumi. Tiklīdz jūs instalējat šīs programmas, jūs arī lejupielādēsit rootkit savā datorā.

PDF vai Office faili:Sakņu komplekti var paslēpties Office failos vai PDF failos kā pasta pielikums vai lejupielādēt. Tiklīdz atverat failu, pilinātājs ievieto failu datorā, un iekrāvējs sāk instalēt fonā.

Kā atpazīt rootkit savā datorā (rootkit skeneris)?

Lai droši noteiktu rootkit un pēc tam tos noņemtu, ir nepieciešams rootkit skeneris, kas ir iekļauts spēcīgu pretvīrusu programmu vīrusu skenēšanā. Piemēram, šie skenējumi var atpazīt parastos rootkit parakstus. Izmantojot šos parakstus, kodā esošie skaitļi ir sakārtoti noteiktā formā. Bet jūsu datorā ir arī dažas pazīmes, kas var norādīt uz iespējamu infekciju ar rootkit.

  • Neparasta datora darbība: Sakņu komplektus raksturo to neuzkrītošums. Tomēr var gadīties, ka jūsu dators uzvedas savādāk nekā parasti, piemēram, netīši atverot programmas vai uzsākot procesus, kurus neesat sācis.
  • Sistēmas iestatījumi mainās, neveicot nekādas darbības: Ja, piemēram, atklājat, ka jūsu dators parasti atļauj attālo piekļuvi vai atver portus, iemesls var būt rootkit.
  • Atmiņas izgāztuves analīze: Kad dators avarē, sistēma Windows izveido sistēmas atmiņas attēlu. Eksperti var izmantot šo failu, lai identificētu neparastus modeļus, ko rada rootkit.
  • Jūsu interneta savienojums vienmēr ir nestabils: Sakņu komplekti var, piemēram, nodrošināt lielas datu plūsmas, caur kurām hakeri var piekļūt datiem. Šīs datu kustības var padarīt jūsu interneta līniju ļoti lēnu vai pat izraisīt avāriju.

Kā es varu pasargāt sevi no rootkit?

Vissvarīgākā aizsardzība pret rootkitiem ir atjauninātas vīrusu aizsardzības programmas izmantošana. Aprīkota ar jaunākajām vīrusu definīcijām, reāllaika aizsardzība var brīdināt par bīstamām lejupielādēm un instalācijām un izmantot vīrusu skeneri, lai regulāri pārbaudītu, vai datorā nav rootkit.

Turklāt ir ieteicami šādi pasākumi:

  • Ikdienā izmantojiet tikai vienu lietotāja kontu, nevis administratora piekļuvi: Ja piesakāties sistēmā Windows vai iOS ar viesa kontu, jums ir tikai ierobežotas tiesības. Ja šajā laikā inficējat datoru ar rootkit, pilinātājs var piekļūt tikai šim lietotāja līmenim un, piemēram, tieši nepiekļūt kodolam.
  • Regulāri atjauniniet operētājsistēmu un programmatūru: Ražotāji, regulāri atjauninot, novērš zināmās drošības nepilnības. Tāpēc ir obligāti jāveic visi nepieciešamie atjauninājumi.
  • Lejupielādējiet failus no interneta tikai no cienījamām vietnēm: Izvairieties no potenciāli bīstamām lejupielādēm, samaziniet risku kļūt par rootkit upuri.
  • Atveriet tikai e-pasta pielikumus no sūtītājiem, kuriem uzticaties: ja saņemat e-pasta ziņojumus no sūtītājiem ar slepenām e-pasta adresēm, vislabāk tos izdzēst. Ja e-pasta pielikums no pazīstamas adreses jums šķiet dīvains, pirms e-pasta pielikuma atvēršanas labāk ir vēlreiz sazināties ar sūtītāju.
  • Instalējiet viedtālruņa lietotnes tikai no oficiālajiem lietotņu veikaliem: Ja saņemat lietotnes no oficiāliem avotiem, tām jau tiek veikta drošības pārbaude. Tas samazinās rootkit ielādes risku viedtālrunī.

Noņemiet rootkit - kā rīkoties

Jums vienmēr vajadzētu noņemt rootkit ar īpašu pretvīrusu programmatūru. Tā kā šī ļaunprātīgā programmatūra var iekļūt dziļi datora operētājsistēmā, manuāla noņemšana parasti ir ļoti sarežģīta. Ja, izdzēšot, aizmirstat nelielas saknes komplekta paliekas, tas parasti tiks pārinstalēts, kad restartēsit.

Labākais veids, kā noņemt rootkit, ir izmantot jaunāko pretvīrusu programmu, kurai ir visjaunākās vīrusu definīcijas. Pēc tam ieteicams veikt vīrusu skenēšanu drošajā režīmā, lai rootkit nevarētu, piemēram, atkārtoti ielādēt datus no interneta. Bieži vien ir nepieciešams vairākas reizes skenēt vīrusu vai ļaunprātīgu programmatūru, lai pilnībā likvidētu rootkit.

Šis raksts sniegs jums detalizētus norādījumus par to, kā atrast un izdzēst rootkit.

Zināmie rootkit

Sakņu komplekti ir ļoti seni interneta draudi. Viens no pirmajiem zināmajiem rootkitiem ir ļaunprātīga programmatūra, kas galvenokārt uzbruka Unix operētājsistēmām 1990. Pirmais zināmais sakņu komplekts Windows datoriem bija NTR sakņu komplekts, kas bija apgrozībā 1999. gadā. Šis ir kodola saknes komplekts.

Laikā no 2003. līdz 2005. gadam notika dažādi lieli uzbrukumi rootkitiem, tostarp uzbrukums mobilajiem tālruņiem, kas tika aktivizēti Vodafone Greece tīklā. Šis sakņu komplekts kļuva pazīstams kā "grieķu Watergate", jo cita starpā tika ietekmēts Grieķijas premjerministrs.

2008. gadā sākās TDL-1 zābaku komplekts. Kibernoziedznieki to izmantoja, lai ar Trojas zirga palīdzību izveidotu lielu robottīklu.

Sakņu komplekts pirmo reizi tika atklāts 2009. gadā, kas inficē arī Apple operētājsistēmas. Tas tika kristīts kā "Machiavelli".

2010. gadā plosījās Stuxnet tārps. Cita starpā viņš izmantoja sakņu komplektu, kuram vajadzēja izspiegot Irānas kodolprogrammu. Ir aizdomas, ka Izraēlas un ASV un Amerikas slepenie dienesti ir izstrādātāji un uzbrucēji.

Izmantojot LoJax, 2022-2023.-2022. Gadā tika atklāts rootkit, kas pirmo reizi inficē datora mātesplatē esošo programmaparatūru. Tas ļauj ļaunprātīgai programmatūrai atkārtoti aktivizēties, atkārtoti instalējot operētājsistēmu.

Secinājums: grūti atklāt, taču, izmantojot jaunāko pretvīrusu programmatūru un piesardzību, risku var samazināt

Tā kā rootkit ir dziļi iestrādāta datora operētājsistēmā, profilakse ir īpaši svarīga. Kad rootkit ir instalēts, nespeciālistiem ir grūti noteikt infekciju. Tomēr ikviens, kurš internetā ir piesardzīgs, izmantojot mūsdienīgu pretvīrusu aizsardzības sistēmu un atbilstošus rīkus un kurš nevērīgi neatver nezināmus failus, samazina iespēju kļūt par rootkit upuri.