Hoci je možné skryť malvér spôsobom, ktorý oklame aj tradičné antivírusové/antispywarové produkty, väčšina malvérových programov už používa rootkity na ukrytie hlboko vo vašom počítači so systémom Windows^(Windows) ... a sú čoraz nebezpečnejšie! Rootkit DL3^(DL3) je jedným z najpokročilejších rootkitov, aké boli kedy vo voľnej prírode videné. Rootkit bol stabilný a mohol infikovať 32-bitové operačné systémy Windows ; hoci na inštaláciu infekcie do systému boli potrebné administrátorské práva. Ale TDL3 bol teraz aktualizovaný a je teraz schopný infikovať aj 64-bitové verzie Windows^{(even 64-bit versions  Windows)} !

Čo je Rootkit

Vírus Rootkit je skrytý typ malvéru  , ktorý je navrhnutý tak, aby skryl existenciu určitých procesov alebo programov vo vašom počítači pred bežnými metódami detekcie, aby jemu alebo inému škodlivému procesu umožnil privilegovaný prístup k vášmu počítaču.

Rootkity pre Windows^{(Rootkits for Windows)} sa zvyčajne používajú na skrytie škodlivého softvéru, napríklad pred antivírusovým programom. Na škodlivé účely ho používajú vírusy, červy, zadné vrátka a spyware. Vírus v kombinácii s rootkitom produkuje to, čo je známe ako úplné stealth vírusy. Rootkity sú bežnejšie v oblasti spywaru a teraz ich čoraz častejšie používajú aj autori vírusov.

Teraz sú novým typom super spywaru^{(Super Spyware)} , ktorý sa efektívne skrýva a priamo ovplyvňuje jadro operačného systému. Používajú sa na skrytie prítomnosti škodlivého objektu, ako sú trójske kone alebo keyloggery vo vašom počítači. Ak hrozba používa na skrytie technológiu rootkit, je veľmi ťažké nájsť malvér vo vašom počítači.

Rootkity samy o sebe nie sú nebezpečné. Ich jediným účelom je skryť softvér a stopy zanechané v operačnom systéme. Či už ide o bežný softvér alebo malvérové ​​programy.

V zásade existujú tri rôzne typy rootkitov^(Rootkit) . Prvý typ, „ koreňové sady jadra^{(Kernel Rootkits)} “, zvyčajne pridávajú svoj vlastný kód do častí jadra operačného systému, zatiaľ čo druhý typ, „ rootkity používateľského režimu^{(User-mode Rootkits)} “ sú špeciálne zamerané na Windows , aby sa normálne spúšťali počas štartovania systému, alebo sa vstrekne do systému takzvaným „kvapkadlom“. Tretím typom sú MBR Rootkits alebo Bootkits^{(MBR Rootkits or Bootkits)} .

Keď zistíte, že váš AntiVirus & AntiSpyware zlyháva, možno budete musieť využiť pomoc dobrého nástroja Anti-Rootkit^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} . RootkitRevealer od spoločnosti Microsoft Sysinternals^{(Microsoft Sysinternals)} je pokročilý nástroj na detekciu rootkitov. Jeho výstup uvádza nezrovnalosti API registra^(Registry) a súborového systému , ktoré môžu naznačovať prítomnosť rootkitu v užívateľskom režime alebo v režime jadra.

Hlásenie^{(Microsoft Malware Protection Center Threat Report)} o  hrozbách centra Microsoft Malware Protection Center pre rootkity^(Rootkits)

Microsoft Malware Protection Center sprístupnilo na stiahnutie svoju správu^{(Threat Report)} o hrozbách pre rootkity^(Rootkits) . Správa skúma jeden z najzákernejších typov škodlivého softvéru, ktorý dnes ohrozuje organizácie a jednotlivcov – rootkit. Správa skúma, ako útočníci používajú rootkity a ako rootkity fungujú na postihnutých počítačoch. Tu je zhrnutie správy, počnúc tým, čo sú rootkity^(Rootkits) – pre začiatočníkov.

Rootkit je sada nástrojov, ktoré útočník alebo tvorca škodlivého softvéru používa na získanie kontroly nad akýmkoľvek odhaleným/nezabezpečeným systémom, ktorý je inak zvyčajne vyhradený pre správcu systému. V posledných rokoch bol termín „ROOTKIT“ alebo „FUNKČNOSŤ ROOTKITU“ nahradený pojmom MALWARE – program navrhnutý tak, aby mal nežiaduce účinky na zdravý počítač. Hlavnou funkciou škodlivého softvéru je tajne stiahnuť cenné údaje a iné zdroje z počítača používateľa a poskytnúť ich útočníkovi, čím mu poskytne úplnú kontrolu nad napadnutým počítačom. Navyše je ťažké ich odhaliť a odstrániť a môžu zostať skryté po dlhú dobu, možno roky, ak si ich nikto nevšimne.

Prirodzene, príznaky napadnutého počítača je potrebné zamaskovať a vziať do úvahy skôr, ako sa výsledok stane smrteľným. Na odhalenie útoku by sa mali prijať najmä prísnejšie bezpečnostné opatrenia. Ale, ako už bolo spomenuté, akonáhle sú tieto rootkity/malvér nainštalované, jeho tajné schopnosti sťažujú jeho odstránenie a jeho súčasti, ktoré by si mohol stiahnuť. Z tohto dôvodu spoločnosť Microsoft^(Microsoft) vytvorila správu o ROOTKITOCH^(ROOTKITS) .

16-stranová správa popisuje, ako útočník používa rootkity a ako tieto rootkity fungujú na postihnutých počítačoch.

Jediným účelom správy je identifikovať a dôkladne preskúmať silný malvér ohrozujúci mnohé organizácie, najmä používateľov počítačov. Zmieňuje sa tiež o niektorých rozšírených rodinách škodlivého softvéru a prináša na svetlo spôsob, akým útočníci inštalujú tieto rootkity pre svoje sebecké účely do zdravých systémov. Vo zvyšku správy nájdete odborníkov, ktorí poskytujú niekoľko odporúčaní, ktoré používateľom pomôžu zmierniť hrozbu zo strany rootkitov.

Typy rootkitov

Existuje mnoho miest, kde sa malvér môže nainštalovať do operačného systému. Typ rootkitu je teda väčšinou určený jeho umiestnením, kde vykonáva subverziu vykonávacej cesty. Toto zahŕňa:

1. Rootkity užívateľského režimu
2. Rootkity režimu jadra
3. Rootkity/bootkity MBR

Možný účinok kompromisu rootkitu v režime jadra je znázornený na obrázku nižšie.

Tretí typ, upravte hlavný zavádzací záznam^{(Master Boot Record)} , aby ste získali kontrolu nad systémom a spustili proces načítania v najskoršom možnom bode spúšťacej sekvencie3. Skryje súbory, úpravy registrov, evidenciu sieťových pripojení ako aj ďalšie možné indikátory, ktoré môžu naznačovať jej prítomnosť.

Významné rodiny malvéru^(Malware) , ktoré používajú funkcie rootkitu^(Rootkit)

• Win32/Sinowal 13 – Viaczložková rodina škodlivého softvéru, ktorý sa pokúša ukradnúť citlivé údaje, ako sú používateľské mená a heslá pre rôzne systémy. To zahŕňa pokusy o ukradnutie autentifikačných údajov pre rôzne FTP , HTTP a e-mailové účty, ako aj poverenia používané pre online bankovníctvo a iné finančné transakcie.
• Win32/Cutwail 15 – Trojan , ktorý sťahuje a spúšťa ľubovoľné súbory. Stiahnuté súbory môžu byť spustené z disku alebo priamo vložené do iných procesov. Zatiaľ čo funkčnosť sťahovaných súborov je variabilná, Cutwail zvyčajne sťahuje ďalšie komponenty, ktoré posielajú spam. Používa rootkit v režime jadra a nainštaluje niekoľko ovládačov zariadení, aby skryl svoje komponenty pred dotknutými používateľmi.
• Win32/Rustock  – Viaczložková rodina backdoor trójskych koní^(Trojans) s podporou rootkitov pôvodne vyvinutá na pomoc pri distribúcii „spamu“ e-mailov prostredníctvom botnetu^(botnet) . Botnet je veľká sieť napadnutých počítačov kontrolovaná útočníkmi.

Ochrana pred rootkitmi

Zabránenie inštalácii rootkitov je najúčinnejšou metódou, ako sa vyhnúť infekcii rootkitmi. Na to je potrebné investovať do ochranných technológií, ako sú antivírusové a firewallové produkty. Takéto produkty by mali mať komplexný prístup k ochrane pomocou tradičnej detekcie založenej na podpisoch, heuristickej detekcie, dynamickej a responzívnej schopnosti podpisu a monitorovania správania.

Všetky tieto sady podpisov by sa mali aktualizovať pomocou mechanizmu automatickej aktualizácie. Antivírusové riešenia od spoločnosti Microsoft^(Microsoft) zahŕňajú množstvo technológií navrhnutých špeciálne na zmiernenie výskytu rootkitov, vrátane živého monitorovania správania jadra, ktoré zisťuje a hlási pokusy o úpravu jadra postihnutého systému, a priamej analýzy súborového systému, ktorá uľahčuje identifikáciu a odstránenie skrytých ovládačov.

Ak sa zistí, že systém je ohrozený, môže sa ukázať ako užitočný ďalší nástroj, ktorý vám umožní zaviesť systém do známeho dobrého alebo dôveryhodného prostredia, pretože môže navrhnúť niektoré vhodné nápravné opatrenia.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

Za takýchto okolností

1. Nástroj Standalone System Sweeper (súčasť súpravy nástrojov Microsoft Diagnostics and Recovery Tools^{(Recovery Toolset)} ( DaRT )
2. Užitočný môže byť Windows Defender Offline .

Ak chcete získať ďalšie informácie, môžete si stiahnuť správu vo formáte PDF^(PDF) z centra sťahovania softvéru spoločnosti Microsoft.^{(Microsoft Download Center.)}

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is possible tо hide malware in a way that will fool eνen the traditional antivirus/antispyware products, most malware programs are alreаdy using rootkits to hide deep оn your Windows PC … and they are getting more dangerous! The DL3 rootkit іs one of the most advаnced rootkits ever seen in the wild. The rootkit was stable and could infect 32 bit Windows opеrating systems; although administrator rights were nеeded to install the infection in the system. But TDL3 has now been updated and is now able to infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Ako sa vyhnúť phishingovým podvodom a útokom?

• Čo je trójsky kôň pre vzdialený prístup? Prevencia, detekcia a odstraňovanie

• Odstráňte vírus z jednotky USB Flash pomocou príkazového riadka alebo dávkového súboru

• Nečestný bezpečnostný softvér alebo Scareware: Ako skontrolovať, zabrániť, odstrániť?

• Čo je Win32:BogEnt a ako ho odstrániť?

• Čo je kybernetický zločin? Ako sa s tým vysporiadať?

• DLL Hijacking Vulnerability Útoky, prevencia a detekcia

• Oprava chyby vyhľadávania zlyhala pri spustení programu Chrome Malware Scanner

• Bezplatné nástroje na odstránenie škodlivého softvéru na odstránenie špecifického vírusu v systéme Windows 11/10

• Škodlivé útoky: definícia, príklady, ochrana, bezpečnosť

• Nástroje vzdialenej správy: Riziká, Hrozby, Prevencia

• Najlepšie online online skenery škodlivého softvéru na skenovanie súboru

• Ako odstrániť Chromium Virus z Windows 11/10

• Crystal Security je bezplatný nástroj na detekciu škodlivého softvéru v cloude pre PC

• Ako používať Avast Boot Scan na odstránenie škodlivého softvéru z počítača so systémom Windows

• Čo je útok Backdoor? Význam, príklady, definície

• Ako odstrániť vírus z Windows 11/10; Sprievodca odstránením škodlivého softvéru

• Ako odinštalovať alebo odstrániť Driver Tonic z Windows 10

• Únos prehliadača a bezplatné nástroje na odstránenie únoscov prehliadača

• Ako zabrániť malvéru - Tipy na zabezpečenie systému Windows 11/10