„Rootkit“ kompiuteryje: Štai kaip galite apsisaugoti

Turinys:

Anonim

Aptikite „rootkit“ ir apsisaugokite nuo jo

Didžioji dalis nusikaltėlių visame pasaulyje naudojamų kenkėjiškų programų jų aukos nepastebi. Taip yra ir dėl kenkėjiškų programų, tokių kaip „rootkit“. Lengvai suprantamu būdu parodysime, kas yra „rootkit“, kokie jo tipai yra ir kaip galite nuo jų apsaugoti savo kompiuterį tinkamais įrankiais.

Kas yra rootkit?

„Rootkit“ yra kenkėjiška programa, paslėpta labai giliai operacinėje sistemoje. Dėl jų programavimo, rootkit dažniausiai galima aptikti ir pašalinti tik naudojant atitinkamą antivirusinę programinę įrangą.

Pagrindinė „rootkit“ funkcija yra leisti trečiosioms šalims pasiekti užsienio kompiuterį. Galite nuotoliniu būdu valdyti, manipuliuoti ar pavogti duomenis. „Rootkit“ atakos taip pat naudojamos, pavyzdžiui, norint įdiegti programinę įrangą, su kuria užpuolikai gali nuotoliniu būdu valdyti robotų tinklą.

„Rootkit“ paprastai susideda iš kenkėjiškų programų paketo. Šakniniame rinkinyje gali būti klavišų registratoriai, robotai ar išpirkos programinė įranga.

Informacija: Iš kur kilęs pavadinimas „rootkit“?

Terminą „rootkit“ sudaro žodžiai „root“ (vokiečių kalba = root = aukščiausias failų sistemos katalogas; vartotojas, turintis visas administratoriaus teises) ir „kit“ (vok. = Rinkinys). „Rootkit“ yra visiškai neutrali programinės įrangos kolekcija, galinti naudoti administratoriaus teises. Tačiau kai šios teisės naudojamos kenkėjiškai programai iš naujo įkelti, pats „rootkit“ tampa kenkėjiška programa.

„Rootkit“: yra šių tipų

Šakniniai rinkiniai paprastai klasifikuojami pagal gylį, kuriuo jie veikia atitinkamo kompiuterio failų sistemoje.

Vartotojo režimo šakniniai rinkiniai

Pagrindinė šių šaknų rinkinių paveikta problema yra jūsų kompiuterio administratoriaus paskyra. Kenkėjiška programa turi visus administratoriaus prieigos prie failų ar programų privalumus ir, pavyzdžiui, gali pakeisti saugos nustatymus. Keistas šių šaknų rinkinių dalykas: jie automatiškai paleidžiami kiekvieną kartą, kai kompiuteris paleidžiamas iš naujo.

Branduolio modelio rootkit

Šie šaknų rinkiniai veikia tiesiogiai operacinės sistemos lygiu ir todėl turi galimybę manipuliuoti visomis operacinės sistemos sritimis. Net virusų skaitytuvų nuskaitymai gali duoti neteisingus rezultatus, jei jie yra užkrėsti branduolio režimo naujokėmis. Tačiau branduolio šaknų rinkiniai turi įveikti daugybę kliūčių, kol jie gali įstrigti branduolyje. Paprastai jie pastebimi iš anksto, pvz., Dėl to, kad kompiuteris nuolat genda.

Firmware rootkit

Šie šaknų rinkiniai gali implantuoti kompiuterinių sistemų programinę įrangą. Ištrynus, jie automatiškai įdiegiami kiekvieną kartą paleidus iš naujo. Dėl šios priežasties programinės įrangos šakniniai rinkiniai yra ypač patvarūs ir sunku juos pašalinti.

Batų rinkiniai

Šie šaknų rinkiniai įstringa įkrovos sektoriuje. Kai paleidžiate kompiuterį, sistema naudoja pagrindinį įkrovos įrašą. Čia taip pat rasite įkrovos komplektą, kuris įkeliamas kiekvieną kartą paleidus. Naujesnių „Windows“ operacinių sistemų, tokių kaip 8 arba 10., vartotojai turi svarbią apsaugą. Šiose versijose jau yra apsaugos sistemos, neleidžiančios paleisti įkrovos rinkinių, kai kompiuteris įjungiamas.

Virtualūs rootkit'ai

Šie šakniniai rinkiniai įdiegiami virtualioje mašinoje ir gali pasiekti užkrėstą kompiuterį ne tikrojoje operacinėje sistemoje. Tai apsunkina virusų apsaugos programinės įrangos aptikimą.

Hibridiniai šaknų rinkiniaiŠie šakniniai rinkiniai padalija programinę įrangą ir įdiegia jos dalis į branduolį, o kitas dalis - vartotojo lygiu. Šie šaknų rinkiniai yra naudingi nusikaltėliams, nes jie veikia labai stabiliai vartotojo lygiu ir tuo pačiu metu veikia branduolyje, t. Y. Užmaskuoti.

Siekiant apsisaugoti nuo šių klastingų grėsmių, virusų skaitytuvai, be kita ko, turi turėti naujausius virusų apibrėžimus.

Kaip rootkit patenka į kompiuterį?

Šaknų rinkiniams visada reikia „transporto priemonės“, su kuria jie galėtų implantuoti save kompiuteryje. Paprastai šakninį rinkinį visada sudaro trys komponentai: pats šaknų rinkinys, lašintuvas ir įkroviklis. Lašintuvas yra panašus į kompiuterinį virusą, kuris užkrečia jūsų kompiuterį. Kadangi lašintuvas ieško saugumo skylės, norėdamas išsaugoti rootkit norimame įrenginyje. Tada naudojamas krautuvas. Jis įdiegia rootkit į užkrėstą kompiuterį, pvz., Branduolyje arba vartotojo lygiu, jei tai yra vartotojo režimo rootkit.

„Rootkits“ numeta šias laikmenas:

„Messenger“

Pvz., Jei gavote kenkėjišką nuorodą ar failą per „Messenger“ ir atidarote nuorodą ar failą, lašintuvas gali įdėti „rootkit“ į jūsų įrenginį.

Nulaužta programinė įranga ir programos:

„Rootkits“ įsilaužėliai gali „įnešti“ į patikimą programinę įrangą ar programas. Pavyzdžiui, failai platinami internete kaip nemokami pasiūlymai. Įdiegę šias programas, į savo kompiuterį taip pat atsisiųsite rootkit.

PDF arba „Office“ failai:„Rootkits“ gali paslėpti „Office“ failuose ar PDF rinkmenose, kaip pašto priedas ar atsisiųstas. Kai tik atidarote failą, lašintuvas įterpia failą į jūsų kompiuterį ir krautuvas pradeda diegti fone.

Kaip atpažinti „rootkit“ savo kompiuteryje („rootkit“ skaitytuvas)?

Norint patikimai aptikti „rootkit“ rinkinius ir juos pašalinti, reikalingas „rootkit“ skaitytuvas, įtrauktas į galingų antivirusinių programų virusų nuskaitymą. Pavyzdžiui, šie nuskaitymai gali atpažinti įprastus „rootkit“ parašus. Naudojant šiuos parašus, kodo numeriai yra išdėstyti tam tikra forma. Tačiau jūsų kompiuteryje taip pat yra keletas požymių, rodančių galimą infekciją su rootkit.

  • Neįprastas jūsų kompiuterio elgesys: Šakniastiebiams būdingas jų nepastebimumas. Tačiau gali atsitikti taip, kad jūsų kompiuteris elgiasi kitaip nei įprastai, pvz., Netyčia atidaro programas ar paleidžia procesus, kurių nepradėjote.
  • Sistemos nustatymai pasikeičia be jūsų veiksmų: Jei, pavyzdžiui, sužinosite, kad jūsų kompiuteris paprastai leidžia nuotolinę prieigą arba atidaro prievadus, priežastis gali būti „rootkit“.
  • Atminties iškrovimo analizė: Kai kompiuteris sugenda, „Windows“ sukuria sistemos atminties vaizdą. Ekspertai gali naudoti šį failą, kad nustatytų neįprastus „rootkit“ sukurtus modelius.
  • Jūsų interneto ryšys visada yra nestabilus: „Rootkits“ gali, pavyzdžiui, užtikrinti didelius duomenų srautus, per kuriuos įsilaužėliai gali pasiekti duomenis. Dėl šių duomenų judėjimo jūsų interneto linija gali labai sulėtėti arba net sugesti.

Kaip apsisaugoti nuo rootkit?

Svarbiausia apsauga nuo rootkit yra naujausios apsaugos nuo virusų programos naudojimas. Įrengta naujausiais virusų apibrėžimais, apsauga realiuoju laiku gali įspėti apie pavojingus atsisiuntimus ir diegimus ir naudoti virusų skaitytuvą, kad reguliariai tikrintų, ar kompiuteryje nėra rootkit.

Be to, rekomenduojama imtis šių priemonių:

  • Kasdieniame gyvenime naudokite tik vieną vartotojo paskyrą, o ne administratoriaus prieigą: Jei prisijungiate prie „Windows“ ar „iOS“ naudodami svečio paskyrą, turite tik ribotas teises. Jei per šį laikotarpį užkrėsite kompiuterį rootkit, lašintuvas gali pasiekti tik šį vartotojo lygį ir, pvz., Tiesiogiai neprisijungti prie branduolio.
  • Reguliariai atnaujinkite operacinę sistemą ir programinę įrangą: Gamintojai reguliariai atnaujina žinomas saugumo spragas. Todėl būtina atlikti visus būtinus atnaujinimus.
  • Atsisiųskite failus iš interneto tik iš patikimų svetainių: Venkite potencialiai pavojingų atsisiuntimų, sumažinkite riziką tapti „rootkit“ auka.
  • Atidarykite tik tų siuntėjų, kuriais pasitikite, el. Laiškų priedus: jei gaunate el. Laiškus iš siuntėjų, turinčių slaptus el. Pašto adresus, geriausia juos ištrinti. Jei el. Laiško priedas iš žinomo adreso jums skamba keistai, prieš atidarydami el. Laiško priedą geriau dar kartą pasitarkite su siuntėju.
  • Įdiekite išmaniųjų telefonų programas tik iš oficialių programų parduotuvių: Jei gaunate programas iš oficialių šaltinių, jos jau yra patikrintos. Tai sumažins riziką įkelti išmanųjį telefoną į „rootkit“.

Pašalinkite „rootkit“ - kaip elgtis toliau

Jūs visada turėtumėte pašalinti rootkit naudodami specialią antivirusinę programinę įrangą. Kadangi ši kenkėjiška programa gali patekti į jūsų kompiuterio operacinę sistemą, ją pašalinti rankiniu būdu paprastai yra labai sunku. Jei jį ištrindami pamiršite mažus šakninio rinkinio likučius, jis paprastai bus iš naujo įdiegtas iš naujo.

Geriausias būdas pašalinti rootkit yra naudoti naujausią antivirusinę programą, kuri turi naujausius virusų apibrėžimus. Tada rekomenduojama nuskaityti virusą saugiuoju režimu, kad, pavyzdžiui, „rootkit“ negalėtų iš naujo įkelti duomenų iš interneto. Norint visiškai pašalinti rootkit, dažnai reikia kelis kartus paleisti virusą ar kenkėjišką programą.

Šiame straipsnyje bus pateiktos išsamios instrukcijos, kaip rasti ir ištrinti rootkit.

Žinomi šaknų rinkiniai

„Rootkits“ yra labai senos interneto grėsmės. Vienas iš pirmųjų žinomų „rootkit“ rinkinių yra kenkėjiška programa, kuri 1990 metais daugiausia užpuolė „Unix“ operacines sistemas. Pirmasis žinomas „Windows“ kompiuterių šaknų rinkinys buvo „NTR rootkit“, kuris buvo išleistas 1999 m. Tai yra branduolio šaknų rinkinys.

2003–2005 m. Įvyko įvairios pagrindinės „rootkit“ atakos, įskaitant ataką mobiliesiems telefonams, kurie buvo suaktyvinti „Vodafone Greece“ tinkle. Šis šaknų rinkinys tapo žinomas kaip „graikų vandens vartai“, nes, be kita ko, nukentėjo Graikijos ministras pirmininkas.

2008 m. Siautėjo TDL-1 įkrovos komplektas. Kibernetiniai nusikaltėliai jį panaudojo kurdami didelį robotų tinklą, pasitelkdami Trojos arklį.

„Rootkit“ pirmą kartą buvo atrastas 2009 m., Kuris taip pat užkrečia „Apple“ operacines sistemas. Jis buvo pakrikštytas „Machiavelli“.

2010 metais siautėjo „Stuxnet“ kirminas. Be kita ko, jis naudojo šaknų rinkinį, kuris turėjo šnipinėti Irano branduolinę programą. Įtariama, kad Izraelio ir JAV bei JAV slaptosios tarnybos yra kūrėjai ir užpuolikai.

Naudojant „LoJax“, 2022-2023–2022 m. Buvo atrastas šakninis rinkinys, kuris pirmą kartą užkrečia kompiuterio pagrindinės plokštės programinę įrangą. Tai leidžia kenkėjiškai programai iš naujo suaktyvinti iš naujo įdiegus operacinę sistemą.

Išvada: sunku aptikti, tačiau naudojant naujausią antivirusinę programinę įrangą ir atsargiai, rizika gali būti sumažinta

Kadangi „rootkit“ yra giliai įterpta į kompiuterio operacinę sistemą, prevencija yra ypač svarbi. Įdiegus „rootkit“, pasauliečiams sunku nustatyti infekciją. Tačiau kiekvienas, kuris internete yra atsargus, naudodamas naujausią apsaugos nuo virusų sistemą ir tinkamas priemones ir neatsargiai neatveria nežinomų failų, sumažina tikimybę tapti rootkit auka.