Иако је могуће сакрити злонамерни софтвер на начин који ће заварати чак и традиционалне антивирусне/антишпијунске производе, већина малвер програма већ користи роотките да би се сакрили дубоко на вашем Виндовс^(Windows) рачунару… и они постају све опаснији! ДЛ3^(DL3) руткит је један од најнапреднијих руткита икада виђених у дивљини. Руткит је био стабилан и могао је да зарази 32-битне Виндовс^(Windows) оперативне системе; иако су администраторска права била потребна за инсталирање инфекције у систему. Али ТДЛ3^(TDL3) је сада ажуриран и сада може да зарази чак и 64-битне верзије Виндовс-а^{(even 64-bit versions  Windows)} !

Шта је руткит

Руткит вирус је прикривени тип малвера  који је дизајниран да сакрије постојање одређених процеса или програма на вашем рачунару од редовних метода откривања, како би њему или другом злонамерном процесу омогућио привилеговани приступ вашем рачунару.

Руткитови за Виндовс^{(Rootkits for Windows)} се обично користе за скривање злонамерног софтвера од, на пример, антивирусног програма. Користе га у злонамерне сврхе вируси, црви, бацкдоорс и шпијунски софтвер. Вирус у комбинацији са рооткитом производи оно што је познато као потпуно скривени вируси. Руткитови су чешћи у области шпијунског софтвера, а сада их све чешће користе и аутори вируса.

Они су сада врста супер шпијунског софтвера^{(Super Spyware)} у настајању који се ефикасно скрива и директно утиче на кернел оперативног система. Користе се да сакрију присуство злонамерних објеката као што су тројанци или кеилоггери на вашем рачунару. Ако претња користи рооткит технологију за скривање, веома је тешко пронаћи малвер на вашем рачунару.

Руткитови сами по себи нису опасни. Њихова једина сврха је да сакрију софтвер и трагове остављене у оперативном систему. Било да се ради о нормалном софтверу или о малверу.

У основи постоје три различита типа руткита^(Rootkit) . Први тип, „ Руткит језгра^{(Kernel Rootkits)} “ обично додаје сопствени код у делове језгра оперативног система, док је друга врста, „ Руткит-ови у корисничком режиму^{(User-mode Rootkits)} “, посебно усмерени на Виндовс^(Windows) да би се нормално покренуо током покретања система, или се убризгава у систем помоћу такозване „капаљке“. Трећи тип су МБР руткит или бооткит^{(MBR Rootkits or Bootkits)} .

Када откријете да ваш АнтиВирус^(AntiVirus) и АнтиСпиваре^{(AntiSpyware)} не раде, можда ћете морати да узмете помоћ доброг Анти-Рооткит услужног^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} програма . РооткитРевеалер^{(RootkitRevealer)} из Мицрософт^{(Microsoft Sysinternals)} Сисинтерналс је напредни услужни програм за откривање руткита. Његов излаз наводи неподударности АПИ-ја ^(API)регистра^(Registry) и система датотека које могу указивати на присуство руткита у корисничком режиму или режиму језгра.

Извештај о претњама Мицрософт центра за заштиту од малвера^{(Microsoft Malware Protection Center Threat Report)} о  руткитовима^(Rootkits)

Мицрософт центар за заштиту од малвера^{(Microsoft Malware Protection Center)} је ставио на располагање за преузимање свој Извештај^{(Threat Report)} о претњама на руткитовима^(Rootkits) . Извештај истражује један од подмуклијих типова малвера који данас прети организацијама и појединцима — руткит. Извештај испитује како нападачи користе рутките и како функционишу на погођеним рачунарима. Ево суштине извештаја, почевши од тога шта су руткити^(Rootkits) – за почетнике.

Руткит^(Rootkit) је скуп алата које нападач или креатор малвера користи да би стекао контролу над било којим изложеним/необезбеђеним системом који је иначе резервисан за администратора система. Последњих година термин 'РООТКИТ' или 'РООТКИТ ФУНКЦИОНАЛНОСТ' замењен је МАЛВЕРОМ –^{(MALWARE –)} програмом дизајнираним да има нежељене ефекте на здрав рачунар. Главна функција злонамерног софтвера је да тајно повуче вредне податке и друге ресурсе са рачунара корисника и пружи их нападачу, дајући му на тај начин потпуну контролу над компромитованим рачунаром. Штавише, тешко их је открити и уклонити и могу остати скривени дужи период, можда годинама, ако прођу непримећени.

Дакле, природно, симптоми компромитованог рачунара морају бити маскирани и узети у обзир пре него што се исход покаже фаталним. Посебно треба предузети строже мере безбедности да би се открио напад. Али, као што је поменуто, када се ови рооткити/малвер инсталирају, његове скривене могућности отежавају уклањање и његових компоненти које би могао да преузме. Из тог разлога, Мицрософт^(Microsoft) је направио извештај о РООТКИТС^(ROOTKITS) -овима .

Извештај на 16 страница описује како нападач користи руткит-ове и како ови руткит-ови функционишу на погођеним рачунарима.

Једина сврха извештаја је да идентификује и помно испита моћан малвер који прети многим организацијама, посебно корисницима рачунара. Такође помиње неке од преовлађујућих породица злонамерног софтвера и доноси на видело метод који нападачи користе да инсталирају ове рутките за сопствене себичне сврхе на здраве системе. У остатку извештаја наћи ћете стручњаке који дају неке препоруке како би помогли корисницима да ублаже претњу од руткита.

Врсте руткита

Постоји много места на којима се злонамерни софтвер може сам инсталирати у оперативни систем. Дакле, углавном је тип рооткита одређен његовом локацијом на којој врши субверзију путање извршења. Ово укључује:

1. Руткити за кориснички режим
2. Руткити у режиму кернела
3. МБР руткити/бооткити

Могући ефекат компромиса руткита у режиму језгра илустрован је снимком екрана испод.

Трећи тип, модификујте главни запис за покретање^{(Master Boot Record)} да бисте добили контролу над системом и започели процес учитавања најраније могуће тачке у секвенци покретања3. Сакрива датотеке, модификације регистра, доказе о мрежним везама као и друге могуће индикаторе који могу указивати на његово присуство.

Значајне породице малвера^(Malware) које користе руткит^(Rootkit) функционалност

• Win32/Sinowal 13 – Вишекомпонентна породица малвера која покушава да украде осетљиве податке као што су корисничка имена и лозинке за различите системе. Ово укључује покушај крађе детаља о аутентификацији за различите ФТП^(FTP) , ХТТП^(HTTP) и налоге е-поште, као и акредитиве који се користе за онлајн банкарство и друге финансијске трансакције.
• Win32/Cutwail 15 – Тројанац^(Trojan) који преузима и извршава произвољне датотеке. Преузете датотеке се могу извршити са диска или директно убризгати у друге процесе. Док је функционалност преузетих датотека променљива, Цутваил^(Cutwail) обично преузима друге компоненте које шаљу нежељену пошту. Користи рооткит у режиму језгра и инсталира неколико драјвера уређаја да сакрије своје компоненте од погођених корисника.
• Win32/Rustock  – Вишекомпонентна породица бацкдоор тројанаца^(Trojans) са омогућеним рооткит-ом првобитно је развијена да помогне у дистрибуцији „нежељене“ е-поште путем бот мреже^(botnet) . Ботнет је велика мрежа компромитованих рачунара коју контролишу нападачи.

Заштита од руткита

Спречавање инсталирања руткита је најефикаснији метод да се избегне инфекција руткитима. За ово је неопходно инвестирати у заштитне технологије као што су антивирусни и заштитни зидови. Такви производи би требало да имају свеобухватан приступ заштити коришћењем традиционалне детекције засноване на потписима, хеуристичке детекције, динамичких и брзих могућности потписа и праћења понашања.

Сви ови скупови потписа треба да се ажурирају коришћењем механизма за аутоматско ажурирање. Мицрософт^(Microsoft) антивирусна решења обухватају бројне технологије дизајниране посебно за ублажавање руткита, укључујући праћење понашања језгра уживо које открива и извештава о покушајима да се модификује језгро погођеног система и директно рашчлањивање система датотека које олакшава идентификацију и уклањање скривених драјвера.

Ако се открије да је систем компромитован, додатна алатка која вам омогућава да се покренете у познато добро или поуздано окружење може се показати корисним јер може предложити неке одговарајуће мере санације.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

Под таквим околностима,

1. Самостални алат за чишћење система^{(Standalone System Sweeper)} (део Мицрософтовог скупа алата за ^(Microsoft) дијагностику^{(Diagnostics)} и опоравак^{(Recovery Toolset)} ( ДаРТ^(DaRT) )
2. Виндовс Дефендер Оффлине^{(Defender Offline)} може бити користан.

За више информација, можете преузети ПДФ^(PDF) извештај са Мицрософт центра за преузимање.^{(Microsoft Download Center.)}

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is possible to hide malware in a way thаt will fool even the traditional antivirus/аntispyware products, mоst malware progrаms are alreadу using rootkits to hide deep on your Windows PC … and they аre gettіng more dangerous! The DL3 roоtkit is one of the most advanced rootkits ever seen in the wild. Τhe rootkit was stable and could infeсt 32 bit Windows operating systems; although administrator rights were needed to install the infeсtion in the sуstem. But TDL3 has now been updatеd and is now able to infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Како избећи пхисхинг преваре и нападе?

• Шта је тројанац за даљински приступ? Превенција, откривање и уклањање

• Уклоните вирус са УСБ флеш диска помоћу командне линије или батцх датотеке

• Рогуе Сецурити Софтваре или Сцареваре: Како проверити, спречити, уклонити?

• Шта је Вин32:БогЕнт и како га уклонити?

• Најбољи скенери вируса и злонамерног софтвера ГАРАНТОВАНО ће уништити сваки вирус

• Шта су напади Ливинг Офф Тхе Ланд? Како остати безбедан?

• Најбољи онлајн скенери малвера на мрежи за скенирање датотеке

• Како користити Аваст Боот Сцан за уклањање злонамерног софтвера са Виндовс рачунара

• Проверите да ли је ваш рачунар заражен злонамерним софтвером АСУС Упдате

• Како Мицрософт идентификује малвер и потенцијално нежељене апликације

• Како користити Малваребитес Анти-Малваре за уклањање злонамерног софтвера

• Како деинсталирати или уклонити Дривер Тониц из Виндовс 10

• Шта је ЦандиОпен? Како уклонити ЦандиОпен из Виндовс 10?

• Бундлеваре: Дефиниција, Превенција, Водич за уклањање

• Цриптојацкинг нове претње рударења претраживача о којима морате да знате

• Како да користите уграђени алат за скенирање и чишћење малвера у Цхроме претраживачу

• Како уклонити вирус из Виндовс 11/10; Водич за уклањање злонамерног софтвера

• Напади рањивости на отмицу ДЛЛ-а, превенција и откривање

• Најбољи бесплатни софтвер за уклањање шпијунског и малвера