Iako je moguće sakriti zlonamjerni softver na način koji će zavarati čak i tradicionalne antivirusne/antišpijunske proizvode, većina zlonamjernih programa već koristi rootkite kako bi se sakrili duboko na vašem Windows PC-u… i oni postaju sve opasniji! DL3 rootkit jedan^(DL3) je od najnaprednijih rootkita ikada viđenih u divljini. Rootkit je bio stabilan i mogao je zaraziti 32-bitni Windows operativni sustav; iako su za instalaciju infekcije u sustav bila potrebna administratorska prava. Ali TDL3 je sada ažuriran i sada može zaraziti čak i 64-bitne verzije sustava Windows^{(even 64-bit versions  Windows)} !

Što je Rootkit

Rootkit virus je skrivena vrsta zlonamjernog softvera  koji je dizajniran da sakrije postojanje određenih procesa ili programa na vašem računalu od redovitih metoda otkrivanja, kako bi se omogućio privilegirani pristup vašem računalu ili nekom drugom zlonamjernom procesu.

Rootkiti za Windows^{(Rootkits for Windows)} obično se koriste za skrivanje zlonamjernog softvera od, na primjer, antivirusnog programa. Koriste ga u zlonamjerne svrhe virusi, crvi, backdoor i špijunski softver. Virus u kombinaciji s rootkitom proizvodi ono što je poznato kao potpuno skriveni virusi. Rootkitovi su češći u području špijunskog softvera, a sada ih također sve češće koriste i autori virusa.

Oni su sada vrsta super špijunskog^{(Super Spyware)} softvera u nastajanju koji se učinkovito skriva i izravno utječe na kernel operativnog sustava. Koriste se za skrivanje prisutnosti zlonamjernih objekata poput trojanaca ili keyloggera na vašem računalu. Ako prijetnja koristi rootkit tehnologiju za skrivanje, vrlo je teško pronaći zlonamjerni softver na vašem računalu.

Rootkiti sami po sebi nisu opasni. Njihova jedina svrha je sakriti softver i tragove ostavljene u operacijskom sustavu. Bilo da se radi o normalnom softveru ili o zlonamjernom softveru.

U osnovi postoje tri različite vrste Rootkita^(Rootkit) . Prvi tip, " Kernel Rootkits " obično dodaje vlastiti kod dijelovima jezgre operacijskog sustava, dok je druga vrsta, " Korisnički način rada Rootkits^{(User-mode Rootkits)} " posebno usmjerena na Windows kako bi se normalno pokrenuo tijekom pokretanja sustava, ili se ubrizgava u sustav takozvanom “kapaljkom”. Treći tip su MBR Rootkiti ili Bootkiti^{(MBR Rootkits or Bootkits)} .

Kada otkrijete da vaš AntiVirus i AntiSpyware ne rade, možda ćete morati potražiti pomoć dobrog Anti-Rootkit uslužnog programa^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} . RootkitRevealer iz Microsoft Sysinternals je napredni uslužni program za otkrivanje rootkita. Njegov izlaz navodi nepodudarnosti API -ja ^(API)registra^(Registry) i datotečnog sustava koje mogu ukazivati ​​na prisutnost rootkita u korisničkom načinu ili načinu rada kernela.

^{(Microsoft Malware Protection Center Threat Report)}Izvješće o  prijetnjama Microsoftovog centra za zaštitu od zlonamjernog softvera o Rootkitovima^(Rootkits)

Microsoftov centar za zaštitu od zlonamjernog softvera^{(Microsoft Malware Protection Center)} stavio je na raspolaganje za preuzimanje svoje izvješće o prijetnjama^{(Threat Report)} na Rootkitovima^(Rootkits) . Izvješće istražuje jednu od podmuklijih vrsta zlonamjernog softvera koji danas prijeti organizacijama i pojedincima — rootkit. Izvješće ispituje kako napadači koriste rootkite i kako rootkiti funkcioniraju na zahvaćenim računalima. Ovdje je suština izvješća, počevši od onoga što su Rootkiti^(Rootkits) – za početnike.

Rootkit je skup alata koje napadač ili kreator zlonamjernog softvera koristi za dobivanje kontrole nad bilo kojim izloženim/nezaštićenim sustavom koji je inače rezerviran za administratora sustava. Posljednjih godina izraz 'ROOTKIT' ili 'ROOTKIT FUNCTIONALITY' zamijenjen je MALWARE-om –^{(MALWARE –)} programom dizajniranim da ima neželjene učinke na zdravo računalo. Glavna funkcija zlonamjernog softvera je tajno povući vrijedne podatke i druge resurse s računala korisnika i dati ih napadaču, dajući mu na taj način potpunu kontrolu nad kompromitovanim računalom. Štoviše, teško ih je otkriti i ukloniti te mogu ostati skriveni dulje vrijeme, možda i godinama, ako prođu nezapaženo.

Dakle, naravno, simptome kompromitovanog računala potrebno je maskirati i uzeti u obzir prije nego što se ishod pokaže koban. Posebno treba poduzeti strože sigurnosne mjere kako bi se otkrio napad. No, kao što je spomenuto, nakon što se ti rootkiti/zlonamjerni softver instaliraju, njegove skrivene mogućnosti otežavaju uklanjanje i njegovih komponenti koje bi mogao preuzeti. Iz tog razloga, Microsoft je izradio izvješće o ROOTKITS -ovima .

Izvješće na 16 stranica opisuje kako napadač koristi rootkite i kako ti rootkiti funkcioniraju na zahvaćenim računalima.

Jedina svrha izvješća je identificirati i pomno ispitati moćni zlonamjerni softver koji prijeti mnogim organizacijama, posebice korisnicima računala. Također spominje neke od rasprostranjenih obitelji zlonamjernog softvera i donosi na svjetlo metodu koju napadači koriste za instaliranje ovih rootkita u vlastite sebične svrhe na zdrave sustave. U ostatku izvješća naći ćete stručnjake koji daju neke preporuke kako bi pomogli korisnicima da ublaže prijetnju od rootkita.

Vrste rutkita

Postoji mnogo mjesta na kojima se zlonamjerni softver može sam instalirati u operativni sustav. Dakle, uglavnom je tip rootkita određen njegovom lokacijom na kojoj izvodi subverziju izvršne putanje. Ovo uključuje:

1. Rootkiti za korisnički način rada
2. Rutkiti za način rada jezgre
3. MBR Rootkiti/bootkiti

Mogući učinak kompromisa rootkita u kernel modu ilustriran je snimkom zaslona u nastavku.

Treći tip, modificirajte glavni zapis za pokretanje^{(Master Boot Record)} kako biste dobili kontrolu nad sustavom i započeli proces učitavanja najranije moguće točke u slijedu pokretanja3. Sakriva datoteke, izmjene registra, dokaze o mrežnim vezama kao i druge moguće pokazatelje koji mogu ukazivati ​​na njegovu prisutnost.

Značajne obitelji zlonamjernog softvera koje koriste ^(Malware)Rootkit funkcionalnost

• Win32/Sinowal 13 – Višekomponentna obitelj zlonamjernog softvera koji pokušava ukrasti osjetljive podatke kao što su korisnička imena i lozinke za različite sustave. To uključuje pokušaj krađe pojedinosti o autentifikaciji za razne FTP , HTTP i račune e-pošte, kao i vjerodajnice koje se koriste za internetsko bankarstvo i druge financijske transakcije.
• Win32/Cutwail 15 – Trojanac^(Trojan) koji preuzima i izvršava proizvoljne datoteke. Preuzete datoteke mogu se izvršiti s diska ili ubaciti izravno u druge procese. Iako je funkcionalnost preuzetih datoteka promjenjiva, Cutwail obično preuzima druge komponente koje šalju neželjenu poštu. Koristi rootkit u načinu rada jezgre i instalira nekoliko upravljačkih programa uređaja kako bi sakrio svoje komponente od pogođenih korisnika.
• Win32/Rustock  – Višekomponentna obitelj backdoor trojanaca^(Trojans) s omogućenim rootkitom u početku je razvijena za pomoć u distribuciji "spam" e-pošte putem botneta^(botnet) . Botnet je velika mreža kompromitiranih računala koju kontroliraju napadači.

Zaštita od rootkita

Sprječavanje instalacije rootkita je najučinkovitija metoda za izbjegavanje infekcije rootkitovima. Za to je potrebno ulagati u zaštitne tehnologije poput antivirusnih i vatrozidnih proizvoda. Takvi proizvodi trebali bi imati sveobuhvatan pristup zaštiti korištenjem tradicionalnog otkrivanja temeljenog na potpisu, heurističkog otkrivanja, sposobnosti dinamičkog i odgovornog potpisa i praćenja ponašanja.

Svi ovi skupovi potpisa trebali bi biti ažurirani pomoću mehanizma automatiziranog ažuriranja. Microsoftova^(Microsoft) antivirusna rješenja uključuju niz tehnologija dizajniranih posebno za ublažavanje rootkita, uključujući praćenje ponašanja kernela uživo koje otkriva i izvješćuje o pokušajima modificiranja jezgre zahvaćenog sustava i izravno raščlanjivanje datotečnog sustava koje olakšava identifikaciju i uklanjanje skrivenih upravljačkih programa.

Ako se utvrdi da je sustav kompromitiran, dodatni alat koji vam omogućuje pokretanje u poznato dobro ili pouzdano okruženje može se pokazati korisnim jer može predložiti neke odgovarajuće mjere sanacije.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

u takvim okolnostima,

1. Alat za samostalni^{(Standalone System Sweeper)} alat za čišćenje sustava (dio Microsoftovog skupa alata za ^(Microsoft) dijagnostiku^{(Diagnostics)} i oporavak^{(Recovery Toolset)} ( DaRT )
2. Windows Defender Offline može biti koristan.

Za više informacija možete preuzeti PDF izvješće iz Microsoftovog centra za preuzimanje.^{(Microsoft Download Center.)}

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is posѕible to hide malware in a way that will fool even the traditionаl antіvirus/antispyware products, most malware programs are already using rоotkits to hide deep on your Windows PC … and they are getting more dangerous! The DL3 rootkit is one of the most advanced rootkits ever seen in the wild. The rootkit was stablе and could infect 32 bit Windows operating systemѕ; althоugh administrator rights were needed to install the infection in the system. But TDL3 has now been updated and іѕ now able tо infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Kako izbjeći phishing prijevare i napade?

• Što je trojanac za daljinski pristup? Prevencija, otkrivanje i uklanjanje

• Uklonite virus s USB flash pogona pomoću naredbenog retka ili batch datoteke

• Rogue Security Software ili Scareware: Kako provjeriti, spriječiti, ukloniti?

• Što je Win32:BogEnt i kako ga ukloniti?

• Najbolji online skeneri zlonamjernog softvera za skeniranje datoteke

• Kako koristiti ugrađeni alat za skeniranje zlonamjernog softvera i alat za čišćenje u pregledniku Chrome

• Bundleware: definicija, prevencija, vodič za uklanjanje

• Kako provjeriti je li datoteka zlonamjerna ili ne u sustavu Windows 11/10

• Kako provjeriti ima li u registru zlonamjernog softvera u sustavu Windows 11/10

• Kako ukloniti virus iz Windows 11/10; Vodič za uklanjanje zlonamjernog softvera

• Što je backdoor napad? Značenje, primjeri, definicije

• Napadi zlonamjernog oglašavanja: definicija, primjeri, zaštita, sigurnost

• Kako koristiti Malwarebytes Anti-Malware za uklanjanje zlonamjernog softvera

• Najbolji skeneri virusa i zlonamjernog softvera GARANCIRANO za uništavanje bilo kojeg virusa

• Napadi ranjivosti otmica DLL-a, prevencija i otkrivanje

• Kako Microsoft identificira zlonamjerni softver i potencijalno neželjene aplikacije

• Proces logotipa Microsoft Windows u Upravitelju zadataka; Je li virus?

• Savjeti za zaštitu računala od napada Thunderspyja

• Kako ukloniti Chromium virus iz sustava Windows 11/10