Παρόλο που είναι δυνατό να αποκρύψετε κακόβουλο λογισμικό με τρόπο που θα ξεγελάσει ακόμη και τα παραδοσιακά προϊόντα προστασίας από ιούς/αντισπιλογισμικό, τα περισσότερα προγράμματα κακόβουλου λογισμικού χρησιμοποιούν ήδη rootkits για να κρύβονται βαθιά στον υπολογιστή σας με Windows … και γίνονται πιο επικίνδυνα! Το DL3 rootkit είναι ένα από τα πιο προηγμένα rootkit που έχουν δει ποτέ στη φύση. Το rootkit ήταν σταθερό και μπορούσε να μολύνει λειτουργικά συστήματα Windows 32 bit. ^(Windows)αν και απαιτούνταν δικαιώματα διαχειριστή για την εγκατάσταση της μόλυνσης στο σύστημα. Αλλά το TDL3^(TDL3) έχει πλέον ενημερωθεί και είναι πλέον σε θέση να μολύνει ακόμη και εκδόσεις 64-bit των Windows^{(even 64-bit versions  Windows)} !

Τι είναι το Rootkit

Ο ιός Rootkit είναι ένας μυστικός τύπος κακόβουλου λογισμικού  που έχει σχεδιαστεί για να κρύβει την ύπαρξη ορισμένων διεργασιών ή προγραμμάτων στον υπολογιστή σας από τις συνήθεις μεθόδους ανίχνευσης, ώστε να επιτρέπει σε αυτόν ή σε άλλη κακόβουλη διεργασία προνομιακή πρόσβαση στον υπολογιστή σας.

Τα Rootkits για Windows^{(Rootkits for Windows)} χρησιμοποιούνται συνήθως για την απόκρυψη κακόβουλου λογισμικού από, για παράδειγμα, ένα πρόγραμμα προστασίας από ιούς. Χρησιμοποιείται για κακόβουλους σκοπούς από ιούς, worms, backdoors και spyware. Ένας ιός σε συνδυασμό με ένα rootkit παράγει αυτό που είναι γνωστό ως full stealth ιοί. Τα Rootkits είναι πιο κοινά στον τομέα του spyware και πλέον χρησιμοποιούνται επίσης πιο συχνά από τους δημιουργούς ιών.

Είναι πλέον ένας αναδυόμενος τύπος Super Spyware που κρύβεται αποτελεσματικά και επηρεάζει άμεσα τον πυρήνα του λειτουργικού συστήματος. Χρησιμοποιούνται για την απόκρυψη της παρουσίας κακόβουλου αντικειμένου όπως trojan ή keylogger στον υπολογιστή σας. Εάν μια απειλή χρησιμοποιεί τεχνολογία rootkit για απόκρυψη, είναι πολύ δύσκολο να βρείτε το κακόβουλο λογισμικό στον υπολογιστή σας.

Τα Rootkit από μόνα τους δεν είναι επικίνδυνα. Ο μόνος τους σκοπός είναι να κρύψουν το λογισμικό και τα ίχνη που έχουν μείνει πίσω στο λειτουργικό σύστημα. Είτε πρόκειται για κανονικό λογισμικό είτε για προγράμματα κακόβουλου λογισμικού.

Υπάρχουν βασικά τρεις διαφορετικοί τύποι Rootkit . Ο πρώτος τύπος, τα " Kernel Rootkits " συνήθως προσθέτουν τον δικό τους κώδικα σε μέρη του πυρήνα του λειτουργικού συστήματος, ενώ ο δεύτερος τύπος, τα " Rootkits λειτουργίας χρήστη^{(User-mode Rootkits)} " στοχεύουν ειδικά στα Windows για κανονική εκκίνηση κατά την εκκίνηση του συστήματος. ή εγχύεται στο σύστημα από το λεγόμενο «Dropper». Ο τρίτος τύπος είναι MBR Rootkits ή Bootkits^{(MBR Rootkits or Bootkits)} .

Όταν διαπιστώσετε ότι το Anti- Virus^(AntiVirus) & AntiSpyware αποτυγχάνει, ίσως χρειαστεί να ζητήσετε τη βοήθεια ενός καλού βοηθητικού προγράμματος Anti-Rootkit^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} . Το RootkitRevealer^{(RootkitRevealer)} από το Microsoft Sysinternals^{(Microsoft Sysinternals)} είναι ένα προηγμένο βοηθητικό πρόγραμμα εντοπισμού rootkit. Η έξοδος του παραθέτει ασυμφωνίες API μητρώου^(Registry) και συστήματος αρχείων που μπορεί να υποδηλώνουν την παρουσία ενός rootkit λειτουργίας χρήστη ή πυρήνα.

Αναφορά απειλών του Κέντρου προστασίας από κακόβουλο λογισμικό της Microsoft^{(Microsoft Malware Protection Center Threat Report)} σε  Rootkits

Το Κέντρο προστασίας από κακόβουλο λογισμικό της Microsoft^{(Microsoft Malware Protection Center)} έχει διαθέσει για λήψη την Αναφορά απειλών^{(Threat Report)} για τα Rootkits . Η έκθεση εξετάζει έναν από τους πιο ύπουλους τύπους κακόβουλου λογισμικού που απειλούν σήμερα οργανισμούς και άτομα - το rootkit. Η αναφορά εξετάζει τον τρόπο με τον οποίο οι εισβολείς χρησιμοποιούν τα rootkits και πώς λειτουργούν τα rootkits σε υπολογιστές που επηρεάζονται. Ακολουθεί μια ουσία της αναφοράς, ξεκινώντας από το τι είναι τα Rootkit^(Rootkits) – για τον αρχάριο.

Το Rootkit^(Rootkit) είναι ένα σύνολο εργαλείων που χρησιμοποιεί ένας εισβολέας ή ένας δημιουργός κακόβουλου λογισμικού για να αποκτήσει τον έλεγχο οποιουδήποτε εκτεθειμένου/μη ασφαλούς συστήματος το οποίο κατά τα άλλα προορίζεται κανονικά για έναν διαχειριστή συστήματος. Τα τελευταία χρόνια ο όρος «ROOTKIT» ή «ROOTKIT FUNCTIONALITY» έχει αντικατασταθεί από το MALWARE – ένα πρόγραμμα που έχει σχεδιαστεί για να έχει ανεπιθύμητα αποτελέσματα σε έναν υγιή υπολογιστή. Η κύρια λειτουργία του κακόβουλου λογισμικού είναι να αποσύρει πολύτιμα δεδομένα και άλλους πόρους από τον υπολογιστή ενός χρήστη κρυφά και να τα παρέχει στον εισβολέα, δίνοντάς του έτσι τον πλήρη έλεγχο του παραβιασμένου υπολογιστή. Επιπλέον, είναι δύσκολο να εντοπιστούν και να αφαιρεθούν και μπορούν να παραμείνουν κρυφά για παρατεταμένες περιόδους, ενδεχομένως και χρόνια, εάν περάσουν απαρατήρητα.

Επομένως, φυσικά, τα συμπτώματα ενός υπολογιστή που έχει υποστεί βλάβη πρέπει να καλυφθούν και να ληφθούν υπόψη πριν το αποτέλεσμα αποδειχθεί μοιραίο. Ειδικότερα, θα πρέπει να ληφθούν πιο αυστηρά μέτρα ασφαλείας για την αποκάλυψη της επίθεσης. Όμως, όπως αναφέρθηκε, μόλις εγκατασταθούν αυτά τα rootkits/κακόβουλο λογισμικό, οι κρυφές δυνατότητές του καθιστούν δύσκολη την αφαίρεση του και των στοιχείων του που μπορεί να κατεβάσει. Για αυτόν τον λόγο, η Microsoft έχει δημιουργήσει μια αναφορά για τα ROOTKITS .

Η αναφορά 16 σελίδων περιγράφει πώς ένας εισβολέας χρησιμοποιεί rootkits και πώς λειτουργούν αυτά τα rootkits σε υπολογιστές που επηρεάζονται.

Ο μοναδικός σκοπός της έκθεσης είναι να εντοπίσει και να εξετάσει προσεκτικά το ισχυρό κακόβουλο λογισμικό που απειλεί πολλούς οργανισμούς, ιδιαίτερα τους χρήστες υπολογιστών. Αναφέρει επίσης μερικές από τις διαδεδομένες οικογένειες κακόβουλου λογισμικού και φέρνει στο φως τη μέθοδο που χρησιμοποιούν οι εισβολείς για να εγκαταστήσουν αυτά τα rootkits για τους δικούς τους εγωιστικούς σκοπούς σε υγιή συστήματα. Στο υπόλοιπο της αναφοράς, θα βρείτε ειδικούς που κάνουν κάποιες συστάσεις για να βοηθήσουν τους χρήστες να μετριάσουν την απειλή από τα rootkits.

Τύποι Rootkit

Υπάρχουν πολλά μέρη όπου το κακόβουλο λογισμικό μπορεί να εγκατασταθεί σε ένα λειτουργικό σύστημα. Έτσι, κυρίως ο τύπος του rootkit καθορίζεται από τη θέση του όπου εκτελεί την ανατροπή της διαδρομής εκτέλεσης. Αυτό περιλαμβάνει:

1. Rootkits λειτουργίας χρήστη
2. Ριζικά κιτ λειτουργίας πυρήνα
3. MBR Rootkits/bootkits

Το πιθανό αποτέλεσμα ενός συμβιβασμού του rootkit σε λειτουργία πυρήνα απεικονίζεται μέσω ενός στιγμιότυπου οθόνης παρακάτω.

Ο τρίτος τύπος, τροποποιήστε το Master Boot Record για να αποκτήσετε τον έλεγχο του συστήματος και να ξεκινήσετε τη διαδικασία φόρτωσης του πρώιμου δυνατού σημείου στην ακολουθία εκκίνησης3. Αποκρύπτει αρχεία, τροποποιήσεις μητρώου, στοιχεία συνδέσεων δικτύου καθώς και άλλους πιθανούς δείκτες που μπορούν να υποδείξουν την παρουσία του.

Αξιοσημείωτες οικογένειες κακόβουλων προγραμμάτων^(Malware) που χρησιμοποιούν τη λειτουργικότητα του Rootkit

• Win32/Sinowal 13 – Μια οικογένεια κακόβουλου λογισμικού πολλαπλών συστατικών που προσπαθεί να κλέψει ευαίσθητα δεδομένα, όπως ονόματα χρηστών και κωδικούς πρόσβασης για διαφορετικά συστήματα. Αυτό περιλαμβάνει την απόπειρα κλοπής στοιχείων ελέγχου ταυτότητας για μια ποικιλία λογαριασμών FTP , HTTP και email, καθώς και διαπιστευτήρια που χρησιμοποιούνται για ηλεκτρονικές τραπεζικές συναλλαγές και άλλες οικονομικές συναλλαγές.
• Win32/Cutwail 15 – Ένας Trojan που κατεβάζει και εκτελεί αυθαίρετα αρχεία. Τα ληφθέντα αρχεία μπορούν να εκτελεστούν από το δίσκο ή να εγχυθούν απευθείας σε άλλες διεργασίες. Ενώ η λειτουργικότητα των ληφθέντων αρχείων είναι μεταβλητή, το Cutwail συνήθως κατεβάζει άλλα στοιχεία που στέλνουν ανεπιθύμητα μηνύματα. Χρησιμοποιεί ένα rootkit λειτουργίας πυρήνα και εγκαθιστά πολλά προγράμματα οδήγησης συσκευών για να κρύψει τα στοιχεία του από τους επηρεαζόμενους χρήστες.
• Win32/Rustock  – Μια οικογένεια πολλαπλών συστατικών backdoor Trojans με δυνατότητα rootkit που αρχικά αναπτύχθηκε για να βοηθήσει στη διανομή «spam» email μέσω ενός botnet . Ένα botnet είναι ένα μεγάλο δίκτυο υπολογιστών που ελέγχονται από εισβολείς.

Προστασία από rootkit

Η πρόληψη της εγκατάστασης rootkit είναι η πιο αποτελεσματική μέθοδος για την αποφυγή μόλυνσης από rootkits. Για αυτό, είναι απαραίτητο να επενδύσουμε σε τεχνολογίες προστασίας, όπως προϊόντα προστασίας από ιούς και τείχους προστασίας. Τέτοια προϊόντα θα πρέπει να ακολουθούν μια ολοκληρωμένη προσέγγιση για την προστασία χρησιμοποιώντας παραδοσιακή ανίχνευση βάσει υπογραφών, ευρετική ανίχνευση, ικανότητα δυναμικής και απόκρισης υπογραφής και παρακολούθηση συμπεριφοράς.

Όλα αυτά τα σύνολα υπογραφών θα πρέπει να διατηρούνται ενημερωμένα χρησιμοποιώντας έναν αυτοματοποιημένο μηχανισμό ενημέρωσης. Οι λύσεις προστασίας από ιούς της Microsoft^(Microsoft) περιλαμβάνουν μια σειρά από τεχνολογίες που έχουν σχεδιαστεί ειδικά για τον μετριασμό των rootkits, συμπεριλαμβανομένης της παρακολούθησης συμπεριφοράς του πυρήνα ζωντανού που εντοπίζει και αναφέρει τις προσπάθειες τροποποίησης του πυρήνα ενός επηρεαζόμενου συστήματος και άμεση ανάλυση συστήματος αρχείων που διευκολύνει τον εντοπισμό και την αφαίρεση κρυφών προγραμμάτων οδήγησης.

Εάν ένα σύστημα βρεθεί σε κίνδυνο, τότε ένα πρόσθετο εργαλείο που σας επιτρέπει να εκκινήσετε σε ένα γνωστό καλό ή αξιόπιστο περιβάλλον μπορεί να αποδειχθεί χρήσιμο, καθώς μπορεί να προτείνει ορισμένα κατάλληλα μέτρα αποκατάστασης.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

Κάτω από τέτοιες συνθήκες,

1. Το εργαλείο αυτόνομου σάρωθρου συστήματος^{(Standalone System Sweeper)} (μέρος του συνόλου εργαλείων διάγνωσης^{(Diagnostics)} και αποκατάστασης της ^{(Recovery Toolset)}Microsoft ( DaRT )
2. Το Windows Defender Offline μπορεί να είναι χρήσιμο.

Για περισσότερες πληροφορίες, μπορείτε να κάνετε λήψη της αναφοράς PDF από το Κέντρο λήψης της Microsoft.^{(Microsoft Download Center.)}

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is posѕible to hide malwarе in а way that will fоol еvеn the traditional antivirus/antiѕpyware products, most malware programs are already using rootkits to hide deep on your Wіndows PC … and thеy are getting more dangerous! The DL3 rootkit is оne of the most advanced rootkits ever seen in the wild. The rootkit was stable and could infect 32 bit Windows operating syѕtems; although administrator rights were needed to install the infection in the system. But TDL3 has nоw been updаted аnd is now able to infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Πώς να αποφύγετε τις απάτες και τις επιθέσεις phishing;

• Τι είναι το Remote Access Trojan; Πρόληψη, Ανίχνευση & Αφαίρεση

• Αφαιρέστε τον ιό από τη μονάδα flash USB χρησιμοποιώντας τη γραμμή εντολών ή το αρχείο δέσμης

• Rogue Security Software or Scareware: Πώς να ελέγξετε, να αποτρέψετε, να αφαιρέσετε;

• Τι είναι το Win32:BogEnt και πώς να το αφαιρέσετε;

• Ελέγξτε εάν ο υπολογιστής σας έχει μολυνθεί από το κακόβουλο λογισμικό ASUS Update

• Το Crystal Security είναι ένα δωρεάν εργαλείο ανίχνευσης κακόβουλου λογισμικού που βασίζεται στο Cloud για υπολογιστή

• Τι είναι το IDP.Generic και πώς να το αφαιρέσετε με ασφάλεια από τα Windows;

• Πώς αναγνωρίζει η Microsoft κακόβουλο λογισμικό και δυνητικά ανεπιθύμητες εφαρμογές

• Εισβολή προγράμματος περιήγησης και δωρεάν εργαλεία αφαίρεσης του αεροπειρατή προγράμματος περιήγησης

• Τι είναι μια επίθεση με παρασκήνια; Σημασία, Παραδείγματα, Ορισμοί

• Πώς να ελέγξετε το μητρώο για κακόβουλο λογισμικό στα Windows 11/10

• 3 τρόποι για να απαλλαγείτε από ιούς, λογισμικό κατασκοπείας και κακόβουλο λογισμικό

• Εργαλεία απομακρυσμένης διαχείρισης: Κίνδυνοι, Απειλές, Πρόληψη

• Επιθέσεις ευπάθειας, πρόληψη και ανίχνευση κατά της πειρατείας DLL

• Τι είναι το έγκλημα στον κυβερνοχώρο; Πώς να το αντιμετωπίσετε;

• Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας στα Windows 10

• Τι είναι το FileRepMalware; Πρέπει να το αφαιρέσετε;

• Επιθέσεις, προστασία και ανίχνευση κακόβουλου λογισμικού χωρίς αρχεία

• IObit Malware Fighter Δωρεάν αναθεώρηση και λήψη