Rootkit på PC -en: Slik kan du beskytte deg selv

Innholdsfortegnelse:

Anonim

Oppdag rootkit og beskytt deg mot det

Mye av skadelig programvare som brukes av kriminelle rundt om i verden, blir ikke oppdaget av ofrene deres. Dette skyldes også skadelig programvare som rootkit. Vi viser deg på en lettfattelig måte hva en rootkit er, hvilke typer det finnes og hvordan du kan beskytte datamaskinen din fra dem med de riktige verktøyene.

Hva er en rootkit?

En rootkit er skadelig programvare som er skjult veldig dypt i operativsystemet. På grunn av programmeringen kan rootkits derfor vanligvis bare oppdages og fjernes med passende antivirusprogramvare.

Den sentrale funksjonen til rootkits er å gi tredjeparter tilgang til en utenlandsk datamaskin. Du kan kontrollere det eksternt, manipulere det eller stjele data. Rootkit -angrep brukes også, for eksempel til å installere programvare som angripere kan kontrollere et botnett eksternt.

En rootkit består vanligvis av en bunt med skadelig programvare. En rootkit kan inneholde keyloggers, bots eller ransomware.

Info: Hvor kommer navnet "rootkit" fra?

Begrepet "rootkit" består av ordene "root" (tysk = root = høyeste katalog i et filsystem; bruker med alle administratorrettigheter) og "kit" (tysk = sett). Rootkit er en helt nøytral samling av programvare som kan bruke administratorrettigheter. Men når disse rettighetene brukes til å laste inn skadelig programvare på nytt, blir selve rootkiten malware.

Rootkit: Det er disse typene

Rootkits er vanligvis klassifisert basert på dybden de virker på i filsystemet til den aktuelle datamaskinen.

Brukermodus rootkits

Det viktigste som påvirkes av disse rootkits er administratorkontoen på datamaskinen din. Skadelig programvare har alle fordelene med administratortilgang til filer eller programmer og kan for eksempel endre sikkerhetsinnstillinger. Det vanskelige med disse rootkits: De startes automatisk hver gang datamaskinen startes på nytt.

Kjernemodell rootkits

Disse rootkits fungerer direkte på operativsystemnivå og har dermed muligheten til å manipulere alle områder av operativsystemet. Selv virusskannerskanninger kan gi feil resultater hvis de blir infisert med en kernel -modus rookit. Imidlertid må kjerne rootkits overvinne mange hindringer før de kan sette seg fast i kjernen. De blir vanligvis lagt merke til på forhånd, for eksempel fordi datamaskinen fortsetter å krasje.

Firmware rootkits

Disse rootkits kan implantere fastvaren til datasystemer. Når de er slettet, blir de automatisk installert på nytt hver gang du starter på nytt. Dette gjør firmware rootkits spesielt vedvarende og gjør det vanskelig å fjerne dem.

Oppstartssett

Disse rootkitsene sitter fast i oppstartssektoren. Når du starter PCen, bruker systemet hovedoppstartsposten. Der finner du også oppstartssettet, som lastes inn hver gang du starter. Brukere av nyere Windows -operativsystemer som 8 eller 10. har viktig beskyttelse. Disse versjonene har allerede sikkerhetssystemer som forhindrer oppstartssett fra å starte når datamaskinen slås på.

Virtuelle rootkits

Disse rootkits installerer seg selv på en virtuell maskin og kan få tilgang til en infisert datamaskin utenfor selve operativsystemet. Dette gjør det vanskelig for virusbeskyttelsesprogramvare å oppdage.

Hybride rootkitsDisse rootkits deler programvaren og installerer deler av den i kjernen og andre deler på brukernivå. Disse rootkits er fordelaktige for kriminelle fordi de kjører veldig stabilt på brukernivå og samtidig virker i kjernen, det vil si kamuflert.

For å beskytte mot disse lumske truslene, må virusskannere blant annet ha oppdaterte virusdefinisjoner.

Hvordan kommer en rootkit inn på datamaskinen?

Rootkits trenger alltid et "kjøretøy" som de kan implantere seg selv på en datamaskin. Som regel består et rootkit derfor alltid av tre komponenter, selve rootkit, dropper og loader. Dråpen er sammenlignbar med et datavirus som infiserer datamaskinen din. Fordi dropperen leter etter et sikkerhetshull for å lagre rootkit på ønsket enhet. Da brukes lasteren. Den installerer rootkit på den infiserte datamaskinen, f.eks. I kjernen eller på brukernivå hvis det er et root-sett i brukermodus.

Rootkits bruker følgende medier for å slippe:

budbringer

For eksempel, hvis du mottar en ondsinnet lenke eller fil via en messenger og du åpner lenken eller filen, kan dropperen plassere rootkiten på enheten din.

Hacket programvare og apper:

Rootkits kan "smugles" til pålitelig programvare eller apper av hackere. Filene distribueres på internett som gratis tilbud, for eksempel. Så snart du installerer disse programmene, vil du også laste ned rootkiten til datamaskinen din.

PDF- eller Office -filer:Rootkits kan gjemme seg i Office -filer eller PDF -filer, enten som e -postvedlegg eller nedlasting. Så snart du åpner filen, legger dropperen filen inn i datamaskinen og lasteren begynner å installere i bakgrunnen.

Hvordan gjenkjenner jeg en rootkit på datamaskinen min (rootkit -skanner)?

For å kunne oppdage rootkits på en pålitelig måte og deretter fjerne dem, kreves en rootkit-skanner, som er inkludert i virussøkingen av kraftige antivirusprogrammer. For eksempel kan disse skanningene gjenkjenne vanlige rootkit -signaturer. Med disse signaturene er tallene i koden ordnet i en bestemt form. Men det er også noen tegn på datamaskinen din som kan indikere en mulig infeksjon med en rootkit.

  • Uvanlig oppførsel på datamaskinen din: Rootkits er preget av deres upåfallende. Imidlertid kan det skje at datamaskinen din oppfører seg annerledes enn vanlig, f.eks. Utilsiktet åpne programmer eller starte prosesser som du ikke startet.
  • Systeminnstillingene dine endres uten handling fra din side: Hvis du for eksempel finner ut at datamaskinen din vanligvis tillater ekstern tilgang eller åpner porter, kan en rootkit være årsaken.
  • Analyse av minnedumpen: Når en datamaskin krasjer, oppretter Windows et systemminnebilde. Eksperter kan bruke denne filen til å identifisere uvanlige mønstre som en rootkit lager.
  • Internett -tilkoblingen din er alltid ustabil: Rootkits kan for eksempel sikre store datastrømmer som hackere kan få tilgang til data gjennom. Disse databevegelsene kan gjøre Internett -linjen din veldig treg eller til og med få den til å krasje.

Hvordan kan jeg beskytte meg selv fra en rootkit?

Den viktigste beskyttelsen mot rootkits er bruk av et oppdatert virusbeskyttelsesprogram. Utstyrt med de nyeste virusdefinisjonene, kan sanntidsbeskyttelse advare deg om farlige nedlastinger og installasjoner og bruke en virusskanner til å jevnlig sjekke datamaskinen din for rootkits.

I tillegg anbefales følgende tiltak:

  • Bruk bare én brukerkonto i hverdagen og ikke administratortilgang: Hvis du logger deg på Windows eller iOS med en gjestekonto, har du bare begrensede rettigheter. Hvis du infiserer datamaskinen din med en rootkit i denne perioden, kan dropperen bare få tilgang til dette brukernivået og f.eks. Ikke få direkte tilgang til kjernen.
  • Oppdater operativsystemet og programvaren regelmessig: Produsenter lukker kjente sikkerhetshull med regelmessige oppdateringer. Det er derfor viktig at du utfører alle nødvendige oppdateringer.
  • Last ned filer fra Internett bare fra anerkjente nettsteder: Unngå potensielt farlige nedlastinger, minimer risikoen for å bli offer for et rootkit.
  • Bare åpne e-postvedlegg fra avsendere du stoler på: Hvis du mottar e-post fra avsendere med kryptiske e-postadresser, er det best å slette dem. Hvis et e-postvedlegg fra en kjent adresse høres rart ut for deg, er det bedre å kontakte avsenderen igjen før du åpner e-postvedlegget.
  • Installer smarttelefonapper bare fra de offisielle appbutikkene: Hvis du får apper fra offisielle kilder, går de allerede gjennom en sikkerhetskontroll. Dette vil redusere risikoen for å laste en rootkit på smarttelefonen din.

Fjern rootkit - hvordan du går frem

Du bør alltid fjerne rootkits med spesiell antivirusprogramvare. Siden denne skadelige programvaren kan ligge dypt inne i datamaskinens operativsystem, er manuell fjerning vanligvis veldig vanskelig. Hvis du glemmer små rester av rootkit når du sletter det, vil det vanligvis installere seg selv på nytt når du starter på nytt.

Den beste måten å fjerne rootkits er å bruke et oppdatert antivirusprogram som har de mest oppdaterte virusdefinisjonene. En virusskanning i sikkermodus anbefales deretter, slik at rootkit ikke kan laste ned data fra Internett for eksempel. Det er ofte nødvendig å kjøre virus- eller malware -skanningen flere ganger for å fullstendig eliminere et rootkit.

Denne artikkelen gir deg detaljerte instruksjoner om hvordan du finner og sletter rootkits.

Kjente rootkits

Rootkits er veldig gamle internett -trusler. En av de første kjente rootkits er skadelig programvare som hovedsakelig angrep Unix -operativsystemer i 1990. Den første kjente rootkiten for Windows -datamaskiner var NTR rootkit, som var i omløp i 1999. Dette er en kernel rootkit.

Mellom 2003 og 2005 var det forskjellige store angrep med rootkits, inkludert et angrep på mobiltelefoner som ble aktivert i Vodafone Hellas -nettverket. Denne rootkiten ble kjent som "Greek Watergate" fordi den greske statsministeren blant annet ble påvirket.

I 2008 raset TDL-1 boot-settet. Cyberkriminelle brukte den til å bygge et stort botnett ved hjelp av en trojansk hest.

En rootkit ble først oppdaget i 2009 som også infiserer Apple -operativsystemer. Den ble døpt "Machiavelli".

I 2010 raste Stuxnet -ormen. Blant annet brukte han en rootkit som skulle spionere ut det iranske atomprogrammet. De israelske og amerikansk-amerikanske hemmelige tjenestene mistenkes for å være utviklere og angripere.

Med LoJax ble det oppdaget et rootkit i 2022-2023 som infiserer fastvaren på hovedkortet til en datamaskin for første gang. Dette gjør at malware kan aktivere seg selv igjen når operativsystemet installeres på nytt.

Konklusjon: Vanskelig å oppdage, men med oppdatert antivirusprogramvare og forsiktighet kan risikoen reduseres

Siden rootkits er dypt innebygd i datamaskinens operativsystem, er forebygging spesielt viktig. Når en rootkit er installert, er det vanskelig for lekfolk å oppdage en infeksjon. Alle som er forsiktige på internett med et oppdatert virusbeskyttelsessystem og de riktige verktøyene og som ikke åpner ukjente filer, reduserer uforsiktig sannsynligheten for å bli offer for et rootkit.