Hvordan fungerer de Rootkits?
En rootkit er et ondsinnet program som brukes for å få forhøyet tilgang til en datamaskin mens den forblir skjult fra eieren av datamaskinen og installert sikkerhetsprogramvare. Rootkits typisk kjøre på et lavt nivå og last før datamaskinens operativsystem til å forbli skjult. Rootkit kan deretter viderekoble alle OS funksjoner som ville avsløre sin tilstedeværelse og vise manipulert resultater til brukeren.
Hva Rootkits er
Ondsinnede brukere eller programvare installeres ofte et rootkit når de har fått tilgang til en datamaskin, gjennom sårbarheter i programvaren på maskinen eller gjennom å få passordet ved social engineering, for eksempel. Rootkit gir dem fortsatt tilgang til datamaskinen, men det etterlater ingen spor av sin aktivitet, som det ville om de var logget inn via en vanlig brukerkonto. Når den er installert, kan det rootkit eieren tilgang til datamaskinen når som helst å kjøre programvare, eller for å kontrollere datamaskinen eksternt.
Hvorfor Rootkits brukes
Rootkits brukes av kriminelle for en rekke formål, vanligvis for å slå en datamaskin til en del av et botnet, som deretter i sin tur går på å infisere andre datamaskiner eller sende spam e-postmeldinger. Rootkit kan installere keyloggers å fange brukerdefinerte passord for nettbank og lignende aktiviteter, eller stjele brukerens personlige opplysninger til bruk for identitetssvindel. Hvis rootkit eieren bruker datamaskinen for kriminelle handlinger, som for eksempel å bryte inn i andre datamaskiner, vil det se ut som om datamaskinen eieren er ansvarlig dersom myndighetene spore tilkoblingen.
Hvordan Rootkits forbli uoppdaget
Mange rootkits infisere oppstartssektorene på harddisken på datamaskinen, slik at de kan laste før datamaskiner operativsystemet. Rootkit patcher deretter operativsystemet og endrer fellesfunksjoner for å skjule sin eksistens. For eksempel kan rootkit avskjære krever en liste over filer i en katalog, fjerne sine egne filnavn før du viser resultatene til brukeren, slik at det ville se ut som om katalogen er ren. Både anti-virus og sikkerhet programmer er sårbare for virkningene av et rootkit, som går på et lavere nivå, som sikrer den anti-virus programvare kan ikke oppdage eller fjerne den. Dette fører til anti-virus programvare til å tro at systemet er rent, når det faktisk er infisert og kjører ondsinnet programvare.
Oppdage og fjerne rootkits
På grunn av sin natur, rootkits er ekstremt vanskelig å oppdage, men datasikkerhet fagfolk kan ofte identifisere feil i koden sin som gjør dem synlig. Mange anti-virus og sikkerhetsleverandørene har sluppet spesialisert programvare for å oppdage og fjerne de mest beryktede rootkits, og du kan bruke disse til å identifisere og rense en infisert datamaskin. Ofte rootkit forfatterne studere disse programmene også, og finne måter å tilpasse koden sin for å holde skjult. Det blir en konstant kamp mellom begge sider for å være i forkant. Til syvende og sist, den eneste måten å være sikker på at en infisert datamaskin er ren, er å tørke av harddisken, og bare laste programvare fra pålitelige kilder.