Rootkit на компютъра: Ето как можете да се защитите

Съдържание:

Anonim

Открийте руткит и се предпазете от него

Голяма част от злонамерения софтуер, използван от престъпниците по света, остава незабелязан от техните жертви. Това се дължи и на зловреден софтуер като руткита. Ще ви покажем по лесен за разбиране начин какво представлява руткитът, какви видове има и как можете да защитите компютъра си от тях с подходящите инструменти.

Какво е руткит?

Руткитът е злонамерен софтуер, който е скрит много дълбоко в операционната система. Поради тяхното програмиране, руткитовете обикновено могат да бъдат открити и премахнати само със съответния антивирусен софтуер.

Централната функция на руткитовете е да позволи на трети страни достъп до чужд компютър. Можете да го управлявате дистанционно, да го манипулирате или да крадете данни. Rootkit атаките също се използват например за инсталиране на софтуер, с който нападателите могат да управляват дистанционно ботнет.

Руткитът обикновено се състои от пакет зловреден софтуер. Руткитът може да съдържа кейлогъри, ботове или рансъмуер.

Информация: Откъде идва името "rootkit"?

Терминът „rootkit“ се състои от думите „root“ (немски = root = най -високата директория във файлова система; потребител с всички права на администратор) и „kit“ (немски = набор). Руткитът е напълно неутрална колекция от софтуерни приложения, които могат да използват администраторски права. Но когато тези права се използват за презареждане на зловреден софтуер, самият руткит става зловреден софтуер.

Руткит: Има тези видове

Руткитите обикновено се класифицират въз основа на дълбочината, на която действат във файловата система на съответния компютър.

Руткити за потребителски режим

Основното засегнато от тези руткитове е администраторският акаунт на вашия компютър. Зловредният софтуер има всички предимства на администраторския достъп до файлове или програми и може например да промени настройките за сигурност. Трудното за тези руткитове: Те се стартират автоматично всеки път, когато компютърът се рестартира.

Руткити на модела на ядрото

Тези руткитове работят директно на ниво операционна система и по този начин имат възможност за манипулиране на всички области на операционната система. Дори сканирането на вирусен скенер може да доведе до неправилни резултати, ако е заразено с рукит в режим ядро. Руткитите на ядрото обаче трябва да преодолеят много препятствия, преди да могат да се забият в ядрото. Обикновено те се забелязват предварително, например защото компютърът продължава да се срива.

Фърмуер руткитове

Тези руткитове могат да имплантират фърмуера на компютърните системи. След като бъдат изтрити, те се преинсталират автоматично всеки път, когато рестартирате. Това прави руткитовете на фърмуера особено устойчиви и затруднява тяхното премахване.

Комплекти за зареждане

Тези руткитове се забиват в зареждащия сектор. Когато стартирате компютъра си, системата използва основния запис за зареждане. Там ще намерите и комплекта за зареждане, който се зарежда всеки път, когато стартирате. Потребителите на по -новите операционни системи Windows като 8 или 10. Важна защита имат. Тези версии вече имат системи за защита, които предотвратяват стартирането на комплекти за зареждане при включване на компютъра.

Виртуални руткитове

Тези руткитове се инсталират на виртуална машина и имат достъп до заразен компютър извън действителната операционна система. Това затруднява откриването на софтуер за защита от вируси.

Хибридни руткитовеТези руткитове разделят софтуера и инсталират части от него в ядрото и други части на потребителско ниво. Тези руткитове са изгодни за престъпниците, тъй като те работят много стабилно на потребителско ниво и в същото време действат в ядрото, т.е. камуфлирани.

За да се предпазят от тези коварни заплахи, скенерите за вируси, наред с други неща, трябва да имат актуални дефиниции за вируси.

Как руткитът влиза в компютъра?

Рутките винаги се нуждаят от "превозно средство", с което могат да се имплантират на компютър. По правило руткитът следователно винаги се състои от три компонента, самия руткит, капкомера и зареждащото устройство. Капкомерът е сравним с компютърен вирус, който заразява компютъра ви. Тъй като капкомерът търси дупка за сигурност, за да запази руткита на желаното устройство. След това се използва товарачът. Той инсталира руткита на заразения компютър, например в ядрото или на потребителско ниво, ако е руткит в потребителски режим.

Рутките използват следните носители за изпускане:

Пратеник

Например, ако получите злонамерена връзка или файл чрез месинджър и отворите връзката или файла, капкомера може да постави руткита на вашето устройство.

Хакнат софтуер и приложения:

Рутките могат да бъдат „контрабандирани“ в надежден софтуер или приложения от хакери. Файловете се разпространяват в интернет като безплатни оферти, например. Веднага след като инсталирате тези програми, вие също ще изтеглите руткита на вашия компютър.

PDF или Office файлове:Рутките могат да се скрият в Office файлове или PDF файлове, независимо дали като прикачен файл към поща или изтегляне. Веднага щом отворите файла, капкомерът вмъква файла във вашия компютър и зареждащото устройство започва да се инсталира във фонов режим.

Как да разпозная руткит на моя компютър (руткит скенер)?

За да се открият надеждно руткитове и след това да се премахнат, е необходим руткит скенер, който е включен в сканирането за вируси на мощни антивирусни програми. Например, тези сканирания могат да разпознават общи подписи на руткит. С тези подписи номерата в кода са подредени в определена форма. Но има и някои признаци на вашия компютър, които могат да показват възможна инфекция с руткит.

  • Необичайно поведение на вашия компютър: Рутките се характеризират със своята незабележимост. Може обаче да се случи компютърът ви да се държи различно от обикновено, например неволно отваряне на програми или стартиране на процеси, които не сте стартирали.
  • Системните ви настройки се променят без никакви действия от ваша страна: Ако установите например, че компютърът ви обикновено позволява отдалечен достъп или отваря портове, причината може да е руткит.
  • Анализ на дъмпа на паметта: Когато компютърът се срине, Windows създава образ на системната памет. Експертите могат да използват този файл, за да идентифицират необичайни модели, които създава руткит.
  • Интернет връзката ви винаги е нестабилна: Руткитовете могат например да осигурят големи потоци от данни, чрез които хакерите да имат достъп до данни. Тези движения на данни могат да направят вашата интернет линия много бавна или дори да я сринат.

Как мога да се защитя от руткит?

Най-важната защита срещу руткитове е използването на актуална програма за защита от вируси. Оборудвана с най-новите дефиниции на вируси, защитата в реално време може да ви предупреди за опасни изтегляния и инсталации и да използва скенер за вируси, за да проверява редовно компютъра ви за руткитове.

Освен това се препоръчват следните мерки:

  • Използвайте само един потребителски акаунт в ежедневието, а не администраторски достъп: Ако влезете в Windows или iOS с акаунт за гост, имате само ограничени права. Ако заразите компютъра си с руткит през този период, капкомера може да получи достъп само до това потребителско ниво и например няма директен достъп до ядрото.
  • Редовно актуализирайте вашата операционна система и софтуер: Производителите затварят известните пропуски в сигурността с редовни актуализации. Следователно е наложително да извършите всички необходими актуализации.
  • Изтегляйте файлове от интернет само от реномирани уебсайтове: Избягвайте потенциално опасни изтегляния, минимизирайте риска да станете жертва на руткит.
  • Отваряйте само прикачени файлове към електронна поща от изпращачи, на които имате доверие: Ако получавате имейли от изпращачи с загадъчни имейл адреси, най-добре е да ги изтриете. Ако прикачен файл към имейл от познат адрес ви звучи странно, по-добре е да проверите отново с подателя, преди да отворите прикачения файл.
  • Инсталирайте приложения за смартфони само от официалните магазини за приложения: Ако получавате приложения от официални източници, те вече преминават през проверка за сигурност. Това ще намали риска от зареждане на руткит на вашия смартфон.

Премахване на руткит - как да процедирам

Винаги трябва да премахвате руткитове със специален антивирусен софтуер. Тъй като този зловреден софтуер може да се забие дълбоко в операционната система на компютъра, ръчното премахване обикновено е много трудно. Ако забравите малки остатъци от руткита, когато го изтриете, той обикновено ще се преинсталира, когато рестартирате.

Най-добрият начин за премахване на руткитове е да използвате актуална антивирусна програма, която има най-актуалните дефиниции за вируси. След това се препоръчва сканиране на вируси в безопасен режим, така че руткитът да не може например да презареди данни от интернет. Често е необходимо да стартирате сканирането за вируси или злонамерен софтуер няколко пъти, за да премахнете напълно руткита.

Тази статия ще ви предостави подробни инструкции как да намерите и изтриете руткитове.

Известни руткитове

Рутките са много стари интернет заплахи. Един от първите известни руткитове е злонамерен софтуер, който атакува основно операционни системи Unix през 1990 г. Първият известен руткит за компютри с Windows беше руткитът NTR, който беше в обръщение през 1999 г. Това е руткит на ядрото.

Между 2003 и 2005 г. имаше различни големи атаки с руткитове, включително атака срещу мобилни телефони, които бяха активирани в мрежата на Vodafone Гърция. Този руткит стана известен като "гръцки Уотъргейт", защото, наред с други неща, беше засегнат гръцкият премиер.

През 2008 г. бушуваше комплектът за зареждане на TDL-1. Киберпрестъпниците го използваха за изграждане на голям ботнет с помощта на троянски кон.

За първи път през 2009 г. беше открит руткит, който също заразява операционните системи на Apple. Кръстен е „Макиавели“.

През 2010 г. бушуваше червеят Stuxnet. Наред с други неща, той използва руткит, който трябваше да шпионира иранската ядрена програма. Израелските и американско-американските тайни служби се подозират като разработчици и нападатели.

С LoJax през 2022-2023 г. беше открит руткит, който заразява фърмуера на дънната платка на компютър за първи път. Това позволява на зловредния софтуер да се активира отново, когато операционната система се преинсталира.

Заключение: Трудно се открива, но с актуален антивирусен софтуер и предпазливост рискът може да бъде намален

Тъй като руткитовете са дълбоко вградени в операционната система на компютъра, предотвратяването е особено важно. След като е инсталиран руткит, за неспециалистите е трудно да открият инфекция. Въпреки това, всеки, който е предпазлив в Интернет със съвременна система за защита от вируси и подходящи инструменти и който не отваря небрежно неизвестни файлове, намалява вероятността да стане жертва на руткит.