Wat is rootkit-zoeken in Kaspersky. Hoe rootkits te verwijderen

Tegenwoordig kan zelfs het modernste antivirusprogramma niet altijd alle bedreigingen herkennen en blokkeren die een computer proberen binnen te dringen. Een van de meest onaangename en verraderlijke gevaren zijn rootkits. Door te gebruiken van dit instrument aanvallers krijgen controle over computers en gebruiken deze vervolgens voor hun eigen doeleinden.

Wat zijn rootkits en waarom zijn ze gevaarlijk? Een rootkit is een programma of set van software, wat de aanwezigheid maskeert ongewenste toepassingen in het besturingssysteem, waardoor aanvallers op de computers van hun slachtoffers kunnen opereren terwijl ze onopgemerkt blijven. Vaak bevinden rootkits zich diep in de diepte van het systeem en is het erg moeilijk om ze te detecteren met behulp van een antivirusprogramma of andere beveiligingstools. Rootkits zelf zijn niet altijd gevaarlijk, maar de programma's en processen die ze verbergen zijn dat wel. Vergeleken met virussen kunnen rootkits veel meer schade aanrichten omdat... toegang krijgen tot het systeem met beheerdersrechten. Ze kunnen er verschillende bevatten kwaadaardige hulpmiddelen, zoals keylogger(keylogger), opgeslagen wachtwoorddief, datascanner bankkaarten, een op afstand bestuurbare bot voor het uitvoeren van DDoS-aanvallen, evenals functies voor het uitschakelen van antivirusprogramma's.

Hoe een rootkit te verwijderen

Kaspersky TDSSKiller. Gratis hulpprogramma TDSSKiller van Kaspersky Lab is ontworpen om een ​​systeem te behandelen dat is geïnfecteerd met malware uit de Rootkit.Win32.TDSS-familie, bootkits en andere bekende rootkits. Het is snel te gebruiken en vereist geen installatie.

Om TDSSKiller gratis te downloaden, gaat u naar de officiële website support.kaspersky.ru

Na het starten van het programma kunt u direct beginnen met scannen of objecten toevoegen om te scannen. Om dit te doen, gaat u naar het tabblad “Scanparameters wijzigen” en vinkt u de vereiste vakjes aan.

Dr.Web CureIt. Met dit hulpprogramma kunt u uw computer niet alleen scannen op rootkits, maar ook op andere kwaadaardige objecten, gevolgd door behandeling. Dr.Web CureIt is gratis en vereist geen installatie.

Een rootkit is een programma dat een systeem binnendringt zonder dat de gebruiker het merkt. Het is in staat computerbesturing te onderscheppen, de basisconfiguraties ervan te wijzigen, en ook gebruikersactiviteiten te monitoren of hem eenvoudigweg te bespioneren. Een rootkit is echter niet altijd malware. Er bestaat software die bijvoorbeeld in kantoren wordt gebruikt om de activiteiten van het personeel te monitoren. Dergelijke programma's houden de gebruiker stilletjes in de gaten, maar zijn niet inherent kwaadaardig. Als er een rootkit verschijnt persoonlijke computer zonder medeweten van de eigenaar kan dit in de meeste gevallen als een aanval worden beschouwd.

In tegenstelling tot virussen en Trojaanse paarden is het detecteren van rootkits niet zo eenvoudig. Geen enkel antivirusprogramma ter wereld kan bescherming bieden tegen alle bestaande rootkits. Gebruik echter gelicentieerde antivirusprogramma's Met nieuwste updates antivirusdatabases helpt bij het verwijderen van enkele bekende rootkits. De aanwezigheid van rootkits op een computer kan ook worden vastgesteld door indirecte tekenen, bijvoorbeeld het veranderde gedrag van sommige programma's of het hele systeem als geheel. Completer moeilijke taak, omdat vaak zijn het complexen van meerdere bestanden. Het is moeilijk om ze allemaal te volgen en met zekerheid te stellen dat een bepaald bestand deel uitmaakt van een rootkit. De eenvoudigste manier om van dergelijke kwaadaardige code af te komen, is door het systeem in een stabielere staat te herstellen. vroege staat, voordat de rootkit op de computer verscheen.

Video over het onderwerp

Een rootkit is een virus dat een systeem binnendringt en schade begint aan te richten. Hij weet zowel zijn sporen van activiteit als zijn partnervirussen te verbergen. Dit doet hij door op laag niveau vast te leggen API-functies en implementatie in het register. Ze kunnen ook de controle over uw pc aan een kwaadaardige hacker geven. Ze zijn niet gemakkelijk te detecteren, maar gemakkelijk te verwijderen.

Instructies

Redenen om de aanwezigheid van rootkits te vermoeden die in het systeem zijn geslopen: antivirusscanners starten niet ( Virusverwijdering Kaspersky), lokale antivirusprogramma's, vrienden klagen over spamstromen die van uw pc komen, en om de een of andere reden leiden sommige pagina's u koppig ergens anders heen. In dit geval is het tijd om de computer te behandelen.

De eenvoudigste manier is om hulpprogramma's te gebruiken. Ze zijn gratis en gemakkelijk. Kaspersky biedt TDSSKiller – speciaal programma tegen rootkits. U kunt het downloaden van de Kaspersky-website als een .exe-bestand. U moet het starten en beginnen met controleren. Alle verdachte bestanden sla ze op in quarantaine en ga vervolgens naar VirusTotal.com en stuur ze vanuit de map \TDSSKiller_Quarantine naar systeempartitie voor analyse.

Nog een ding van Kaspersky, of beter gezegd, van de laboratoriummedewerker van Oleg Zaitsev - AVZ. Voordat het wordt gestart, wordt er een back-uppunt gemaakt, omdat het hulpprogramma alles opschoont. Voordat u begint, vinkt u het vakje aan naast "Detect RooTkit and API interceptors" en voert u het uit.

Rootkits zijn een soort kwaadaardige software die is ingebed in besturingssysteem(OS) van de computer en geef een aanvaller daar onbeperkte toegang toe via een externe verbinding.

Aanvankelijk (meer dan twintig jaar geleden) waren rootkits bedoeld om manipulaties op afstand door een aanvaller of sporen van virussen en Trojaanse paarden op de computer van het slachtoffer te verbergen. Tegenwoordig zijn rootkits alle sets hulpprogramma's die:

• hun activiteiten of de activiteiten van andere processen verbergen;
• besturingssysteemprocessen manipuleren;
• toegang bieden tot OS-tools via het netwerk;
• gebruikersgegevens verzamelen en via het netwerk verzenden.

Soorten rootkits

Laten we eens kijken naar alle soorten rootkits.

Soorten rootkits

Rootkits op gebruikersniveau komen het meest voor. Ze worden gestart met de rechten van de huidige gebruiker, minder vaak met beheerdersrechten. Meestal infiltreren ze een computer om er een zombiemachine van te maken, of om de vertrouwelijke gegevens van de gebruiker te stelen en naar een aanvaller te sturen.

Rootkits op kernelniveau zijn zeldzaam. Ze draaien met de hoogste rechten en laden soms vóór het besturingssysteem. Ze kunnen jarenlang op de computer staan, omdat ze erg moeilijk te detecteren zijn en ze de hoogste rechten in het systeem hebben (root-toegang).

Rootkits die de uitvoeringspaden wijzigen, worden in het besturingssysteem geïntroduceerd, waardoor gebeurtenishandlers en systeembestanden van het besturingssysteem worden gewijzigd.

Rootkits die de kernel binnendringen, wijzigen de kernel van het besturingssysteem zelf; hun componenten werken met elkaar samen en vormen een systeem binnen een systeem. Ze kunnen alleen worden verwijderd door het besturingssysteem opnieuw te installeren.

Een speciaal type zijn software- en hardware-rootkits, die op een hoger niveau werken dan welk besturingssysteem dan ook. Ze zijn ingebed in de software-engine voor hardwarevirtualisatie.

Software- en hardwareraketten

Hoe komt het op uw computer?

Rootkits komen net als andere malware op de computer van een gebruiker terecht. De bron van de infectie kan de flashdrive van iemand anders zijn, een brief van een onbekende E-mailadressen of een per ongeluk aangeklikte link tijdens het surfen op internet.

De infectiebron bevat slechts een minimale injectiecode. Wanneer het in de computer terechtkomt, krijgt het voet aan de grond in het systeem en downloadt het alle andere componenten van internet. Wanneer het volledig is gemonteerd, begint het te doen waarvoor het is ontworpen: gegevens verzamelen en via internet verzenden, installeren toegang op afstand naar de auto (achterdeur - Engelse achterdeur).

Hoe te vechten

Rootkits die in de kernel zijn ingebed, zijn uiterst moeilijk te detecteren. Ze worden door geen enkel geautomatiseerd hulpmiddel gedetecteerd. Goed nieuws is dat het er maar een paar zijn. Voor elk van hen is het bedoeld eigen middel, zoals TDSSKiller van Kaspersky Lab.

In elk modern internetbeveiligingspakket zijn hulpmiddelen ingebouwd om rootkits op gebruikersniveau te bestrijden. Bijvoorbeeld in Kaspersky Internetbeveiliging) het zoeken naar rootkits is standaard ingeschakeld en wordt elke dag uitgevoerd, schakel deze uit standaard middelen het is verboden.

Rootkits in Kaspersky

Dit wordt gedaan om te voorkomen dat de rootkit de antivirusbescherming uitschakelt en het systeem binnendringt. Als KIS verdachte activiteit op het systeem tegenkomt of een rootkitcomponent herkent aan de hand van zijn handtekeningen, zal het deze blokkeren.

Een computervirus kan een programma worden genoemd dat heimelijk werkt en schade toebrengt aan het hele systeem of een afzonderlijk onderdeel ervan. Elke tweede programmeur is dit probleem tegengekomen. Er is geen enkele pc-gebruiker meer die niet weet wat

Soort computervirussen:

1. Wormen. Dit zijn programma's die het systeem onoverzichtelijk maken door zichzelf voortdurend te reproduceren en kopiëren. Hoe meer er in het systeem zitten, hoe langzamer het werkt. De worm kan met geen enkele worm samensmelten veilig programma. Het bestaat als afzonderlijke bestanden.
2. versmelten met onschadelijke en vermommen zich daarin. Ze veroorzaken geen schade aan de computer totdat de gebruiker het bestand uitvoert dat de Trojan bevat. Deze virussen worden gebruikt om gegevens te verwijderen en te wijzigen.
3. Spyware verzamelt informatie. Hun doel is codes en wachtwoorden te detecteren en deze over te dragen aan de persoon die ze heeft gemaakt en op internet heeft gelanceerd, met andere woorden, aan de eigenaar.
4. Met zombievirussen kan een hacker een geïnfecteerde computer besturen. De gebruiker weet misschien niet eens dat zijn pc is geïnfecteerd en dat iemand deze gebruikt.
5. Door programma's te blokkeren, kunt u helemaal niet inloggen op het systeem.

Wat is een rootkit?

Een rootkit is een of meer programma's die de aanwezigheid van ongewenste applicaties op een computer verbergen, waardoor aanvallers onopgemerkt kunnen opereren. Het bevat absoluut de volledige reeks malwarefuncties. Omdat deze applicatie zich vaak diep in het systeem bevindt, is het uiterst moeilijk om deze te detecteren met behulp van een antivirusprogramma of andere beveiligingstools. Een rootkit is een set softwaretools die opgeslagen wachtwoorden kunnen lezen, verschillende gegevens kunnen scannen en ook de pc-beveiliging kunnen uitschakelen. Daarnaast is er een backdoor-functie, wat betekent dat het programma de hacker de mogelijkheid biedt om op afstand verbinding te maken met de computer.

Met andere woorden: een rootkit is een applicatie die verantwoordelijk is voor het onderscheppen systeem functies. Voor het Windows-besturingssysteem kunnen de volgende populaire rootkits worden geïdentificeerd: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.

Rassen

Er zijn verschillende varianten van deze virusprogramma's. Ze kunnen worden onderverdeeld in twee categorieën: gebruikersmodus (user) en kernelmodus (rootkits op kernelniveau). Hulpprogramma's van de eerste categorie hebben dezelfde mogelijkheden als reguliere toepassingen, die op het apparaat kan worden uitgevoerd. Mogelijk gebruiken ze al geheugen programma's draaien. Dit is de meest populaire optie. Rootkits van de tweede categorie bevinden zich diep in het systeem en hebben volledige toegang naar de computer. Als zo’n programma geïnstalleerd is, kan de hacker vrijwel alles doen wat hij wil met het aangevallen apparaat. Rootkits van dit niveau zijn veel moeilijker te maken, daarom is de eerste categorie populairder. Maar een virusprogramma op kernelniveau is helemaal niet gemakkelijk te vinden en te verwijderen, en de bescherming tegen computervirussen is hier vaak volkomen machteloos.

Er zijn andere, zeldzamere varianten van rootkits. Deze programma's worden bootkits genoemd. De essentie van hun werk is dat ze lang voordat het systeem start de controle over het apparaat krijgen. Meer recentelijk zijn er rootkits gemaakt die Android-smartphones aanvallen. Hackertechnologieën ontwikkelen zich op dezelfde manier als computersoftware: ze gaan met de tijd mee.

Zelfgemaakte rootkits

Een groot aantal geïnfecteerde computers bevindt zich op het zogenaamde zombienetwerk en wordt gebruikt om spamberichten te verzenden. Tegelijkertijd vermoeden gebruikers van deze pc's niets van dergelijke “activiteit”. Naar Vandaag Het was gebruikelijk om te denken dat alleen professionele programmeurs deze netwerken konden creëren. Maar heel binnenkort kan alles dramatisch veranderen. Er zijn steeds meer hulpmiddelen voor het maken van virusprogramma's op internet te vinden. Met behulp van een kit genaamd Pinch kunt u bijvoorbeeld eenvoudig een rootkit maken. De basis voor deze malware zal de Pinch Builder Trojan zijn, die kan worden uitgebreid met verschillende functies. Deze applicatie kan eenvoudig wachtwoorden in browsers lezen, ingevoerde gegevens herkennen en naar oplichters sturen, en de functies ervan slim verbergen.

Manieren om een ​​apparaat te infecteren

In eerste instantie worden rootkits op dezelfde manier in het systeem geïntroduceerd als andere virusprogramma's. Als een plug-in of browser kwetsbaar is, zal het voor de applicatie niet moeilijk zijn om op uw computer te komen. Voor deze doeleinden worden vaak flashdrives gebruikt. Soms laten hackers gewoon flashdrives achter op drukke plaatsen, waar iemand het geïnfecteerde apparaat kan meenemen. Dit is hoe een rootkit op de computer van het slachtoffer terechtkomt. Hierdoor wordt de applicatie gebruikt zwakheden systeem en verkrijgt daar gemakkelijk een dominante positie in. Het programma installeert vervolgens hulpcomponenten die worden gebruikt om de computer op afstand te besturen.

Phishing

Vaak wordt het systeem geïnfecteerd via phishing. De kans is groot dat er code op uw computer terechtkomt tijdens het downloaden van games en programma's zonder licentie. Heel vaak is het vermomd als een bestand met de naam Leesmij. We mogen nooit de gevaren vergeten van software en games die worden gedownload van niet-geverifieerde sites. Meestal start de gebruiker zelf een rootkit, waarna het programma onmiddellijk alle tekenen van zijn activiteit verbergt en het later erg moeilijk is om het te detecteren.

Waarom is een rootkit moeilijk te detecteren?

Dit programma houdt zich bezig met het onderscheppen van gegevens diverse toepassingen. Soms detecteert de antivirus deze acties onmiddellijk. Maar vaak, wanneer het apparaat al is geïnfecteerd, verbergt het virus gemakkelijk alle informatie over de toestand van de computer, terwijl sporen van activiteit al zijn verdwenen en informatie over alle schadelijke software is verwijderd. Het is duidelijk dat de antivirus in een dergelijke situatie geen enkel teken van een rootkit kan vinden en deze kan elimineren. Maar zoals de praktijk laat zien, zijn ze in staat dergelijke aanvallen te onderdrukken. En bedrijven die beveiligingssoftware produceren, updaten hun producten regelmatig en voegen nieuwe toe noodzakelijke informatie over nieuwe kwetsbaarheden.

Zoek naar rootkits op uw computer

Om deze te vinden, kunt u verschillende hulpprogramma's gebruiken die speciaal voor deze doeleinden zijn gemaakt. Kaspersky Anti-Virus kan deze taak goed aan. U hoeft alleen maar uw apparaat te controleren op allerlei kwetsbaarheden en malware. Een dergelijke controle is erg belangrijk om het systeem te beschermen tegen virussen, inclusief rootkits. Scannen onthult kwaadaardige code, waartegen de bescherming bestaat ongewenste programma's. Bovendien helpt de zoekactie bij het vinden van kwetsbaarheden in het besturingssysteem, waardoor aanvallers kwaadaardige programma's en objecten kunnen verspreiden. Bent u op zoek naar passende bescherming? Kaspersky is heel geschikt voor jou. Een rootkit kan worden gedetecteerd door eenvoudigweg periodiek naar deze virussen op uw systeem te zoeken.

Voor een meer gedetailleerde zoekopdracht soortgelijke toepassingen u moet uw antivirus configureren om de werking te controleren essentiële bestanden systemen op het laagste niveau. Het is ook erg belangrijk om te garanderen hoog niveau zelfverdediging van de antivirus, omdat een rootkit deze gemakkelijk kan uitschakelen.

Schijven controleren

Om er zeker van te zijn dat uw computer veilig is, moet u alle draagbare schijven controleren wanneer u deze inschakelt. Rootkits kunnen eenvoudig uw besturingssysteem binnendringen verwisselbare schijven, flashdrives. Kaspersky Anti-Virus controleert absoluut alle verwijderbare apparaten wanneer ze op het apparaat zijn aangesloten. Om dit te doen, hoeft u alleen maar een stationsscan in te stellen en ervoor te zorgen dat uw antivirusprogramma up-to-date blijft.

Een rootkit verwijderen

In de strijd hiertegen kwaadaardige toepassingen er zijn veel moeilijkheden. Belangrijkste probleem is dat ze behoorlijk succesvol zijn in het weerstaan ​​van detectie door registersleutels en al hun bestanden op zo'n manier te verbergen antivirusprogramma's kan ze niet vinden. Er zijn hulpprogramma's rootkits te verwijderen. Deze hulpprogramma's zijn gemaakt om naar malware te zoeken verschillende methoden, inclusief zeer gespecialiseerde. Je kunt behoorlijk downloaden effectief programma Gem. Het zal helpen de meeste bekende rootkits te vernietigen. Ik kan ook adviseren AVZ-programma. Het detecteert met succes vrijwel elke rootkit. Hoe verwijder ik gevaarlijke software met dit programma? Het is niet moeilijk: we gaan zitten noodzakelijke instellingen(het hulpprogramma kan geïnfecteerde bestanden in quarantaine plaatsen of ze onafhankelijk verwijderen) en selecteer vervolgens het type scan: volledige pc-monitoring of gedeeltelijk. Vervolgens voeren we de test zelf uit en wachten we op de resultaten.

Een speciaal programma genaamd TDSSkiller bestrijdt effectief de TDSS-applicatie. AVG Anti-Rootkit helpt bij het verwijderen van resterende rootkits. Het is erg belangrijk om na het gebruik van dergelijke assistenten het systeem te controleren op infectie met behulp van een antivirusprogramma. Kaspersky Internet Security kan deze taak perfect aan. Bovendien is dit programma in staat eenvoudigere rootkits te verwijderen via de desinfectiefunctie.

Houd er rekening mee dat u bij het zoeken naar virussen met beveiligingssoftware geen toepassingen of bestanden op uw computer mag openen. Dan is de controle effectiever. Uiteraard moet u er rekening mee houden dat u uw antivirussoftware regelmatig bijwerkt. De ideale optie is de dagelijkse automatische (ingesteld in de instellingen) programma-update, die plaatsvindt wanneer er verbinding is met internet.

Tot voor kort schreven aanvallers alleen virussen die door beveiligingsprogramma's werden onderschept en geneutraliseerd bijzondere problemen. Het was voldoende om correct te installeren en configureren antivirussysteem, update regelmatig zijn database... En leef in vrede.

Tegenwoordig opereren internetaanvallers op veel grotere schaal! Ze laten zich niet langer verleiden door ‘slechts’ de infectie van honderdduizenden computers of zelfs de pandemie van een nieuw virus. Ze proberen controle te krijgen over veel pc's en gebruiken deze voor hun duistere daden. Uit miljoenen geïnfecteerde systemen creëren ze enorme netwerken die via internet worden beheerd. Met behulp van de gigantische rekenprestaties van ‘zombienetwerken’ is het bijvoorbeeld mogelijk om te produceren massale mailingen spammen en organiseren aanvallen van hackers ongekende kracht. Als hulpmiddel voor dergelijke doeleinden wordt heel vaak een nieuw, bijzonder gevaarlijk type malware gebruikt: rootkits

Wat zijn rootkits?

Rootkits verbergen niet alleen zichzelf, maar verbergen ook andere malware die het systeem is binnengedrongen. Het doel van camouflage is om onzichtbaar te zijn voor antivirussen en anderen. beveiligingsprogramma's de computer van iemand anders overnemen. Voor rootkits zoals Hacker-verdediger, er zijn een aantal zeer geavanceerde trucs op voorraad. Deze vermomde ‘plaag’ omzeilt de firewall en opent geheime achterdeurtjes op het internet waardoor hackers de geïnfecteerde computer kunnen controleren. Via de “achterdeur” die door rootkits wordt gecreëerd, kunt u vertrouwelijke gegevens (bijvoorbeeld wachtwoorden) verkrijgen of andere informatie in het systeem injecteren. malware. Er zijn nog maar weinig rootkits. Maar helaas zijn er voor hen “constructors” gemaakt (evenals voor virussen), waarmee zelfs onervaren hooligans “vermomde plagen” kunnen creëren (zie zijbalk op pagina ??) en deze naar eigen goeddunken kunnen gebruiken. De meeste antivirusprogramma's herkennen dergelijke kwaadaardige ‘software’ terwijl deze niet actief is (bijvoorbeeld ‘slapend’ in de vorm van een document dat is bijgevoegd bij e-mail). Maar het is het waard dubbelklikken open een ogenschijnlijk onschadelijk bestand en de rootkit wordt geactiveerd en “klimt” in de verborgen diepten van het systeem. Hierna worden alleen de speciale toepassingen. ComputerBild heeft 8 programma's getest die tot taak hebben rootkits te herkennen en te verwijderen. Alle testdeelnemers verschijnen op de dvd die bij dit nummer van het tijdschrift wordt meegeleverd.

Trucs van rootkits

Een rootkit sluipt een computer binnen om deze voor criminele doeleinden te gebruiken. Het kan als bijlage bij een e-mail worden gevoegd, bijvoorbeeld in de vorm van een factuur PDF-formaat. Als u op het denkbeeldige account klikt, wordt de onzichtbare plaag geactiveerd.

De rootkit dringt dan diep de operatiekamer binnen. Windows-systeem en wijzigt een van de bibliotheekbestanden - *.dll. En de reeks commando's die controleert behoorlijk werk programma's vallen onder de controle van de plaag.

« Machtsgreep De rootkit blijft onopgemerkt en downloadt stilletjes andere kwaadaardige “software” van internet. Nieuw ongedierte wordt vermomd met een rootkit. Nu kan de computer worden gebruikt voor verschillende frauduleuze activiteiten, zoals het verzenden van spam.

Hoe worden rootkits vermomd?

Antivirusprogramma's herkennen kwaadaardige software doorgaans aan de hand van handtekeningen: karakteristieke codeketens in de viruskern. Dit zijn een soort ‘speciale tekens’ waarmee de ‘plaag’ kan worden geïdentificeerd en vernietigd. Leveranciers van beveiligingssoftware plaatsen regelmatig updates op internet met de nieuwste gevonden handtekeningen. Bovendien herkennen antivirussen “ongedierte” aan de hand van bepaalde kenmerken van hun gedrag - deze methode wordt “ heuristische analyse" Als een bepaald programma bijvoorbeeld alle MP3-bestanden op uw harde schijf verwijdert, is het hoogstwaarschijnlijk een virus dat moet worden geblokkeerd en vernietigd.

Om antivirusprogramma's voor de gek te houden, manipuleren rootkits de processen waarmee computertoepassingen gegevens uitwisselen. Uit deze stromen verwijderen ze informatie over zichzelf en ander ongedierte. De antivirus ontvangt valse informatie en gelooft dat “alles rustig is in Bagdad”

Sommige rootkits ("rootkits in de gebruikersmodus" genoemd) onderscheppen gegevensstromen tussen programma's (bijvoorbeeld tussen Windows en een antivirusprogramma) en manipuleren deze naar believen.

Andere rootkits (ze worden ‘rootkits in de kernelmodus’ genoemd) ‘zitten’ dieper, tussen individuen Windows-componenten of zelfs erin systeem register, en van daaruit sturen ze valse gegevens naar de antivirus

Hoe worden rootkits verspreid?

• Soms komen er rootkits bij e-mailbijlagen vermomd als documenten verschillende formaten(bijvoorbeeld pdf). In feite is zo’n “denkbeeldig document” dat wel uitvoerbaar bestand. Iedereen die het probeert te openen, activeert een rootkit.
• Een andere manier van distributie is via sites die door hackers zijn gemanipuleerd. Een onwetende gebruiker opent eenvoudigweg een webpagina en de rootkit komt op zijn computer terecht. Dit wordt mogelijk gemaakt door "gaten" in het beveiligingssysteem van de browser

"Zelfgemaakte" rootkits

Duizenden met rootkits geïnfecteerde computers vormen enorme ‘zombienetwerken’ die worden gebruikt om spam langs nietsvermoedende gebruikers te sturen. Tot voor kort werd aangenomen dat dergelijke fraude alleen beschikbaar was voor ervaren professionele programmeurs. De situatie kan echter in de nabije toekomst veranderen. Op internet zijn steeds vaker zogenaamde Toolkits (toolkits) te vinden voor het maken van verborgen ongedierte, bijvoorbeeld het redelijk populaire Pinch. Met behulp van deze “software” zelfs onervaren gebruiker kan een “onzichtbare plaag” creëren... De basis hiervoor zal de Pinch Builder Trojan zijn, die met behulp van software-interface Pinch kan worden uitgerust met een verscheidenheid aan kwaadaardige functies. Volgens informatie gepubliceerd op de website van de fabrikant Panda-antivirus Software, Pinch Builder Trojan kan:

• browserwachtwoorden stelen, met name Mozilla en Opera, en deze naar internetoplichters sturen; dankzij toegang tot speciaal Windows-gebieden hij weet ook hoe hij erachter moet komen Internetwachtwoorden Verkenner en Outlook;
• gegevens lezen die via het toetsenbord zijn ingevoerd (in het bijzonder wachtwoorden) en deze naar internet verzenden;
• verberg zijn kwaadaardige functies - het programma beschermt vakkundig “Trojaanse” processen tegen detectie door antivirussoftware.

Andreas Marx, expert bij het antivirustestlaboratorium AV-Test, dat regelmatig tests uitvoert in opdracht van ComputerBild, bevestigt: “Kits voor het maken van Trojaanse paarden worden op speciale websites al voor enkele honderden euro's verkocht. Als een grote golf van dit soort zelfgemaakte plagen zich over het internet verspreidt, zullen rootkits een echte ramp voor gebruikers worden.”

Hoe zich te ontdoen van rootkits?

Installeer het Gmer-programma, dat onze test heeft gewonnen. Het detecteert met vertrouwen rootkits en andere soorten verborgen “ongedierte” en kan de meeste ervan ook verwijderen. De resterende rootkits kunnen worden “afgemaakt” met behulp van AVG-hulpprogramma's Anti-rootkit. Na het verwijderen van het “ongedierte” moet u het systeem controleren met een regulier antivirusprogramma, bijvoorbeeld uit het pakket Kaspersky-programma's Internetbeveiliging.

Samenvatting van testresultaten

Uit onze test met 8 anti-rootkits bleek dat er een betrouwbaar middel bestaat tegen sluw vermomd ongedierte. Het is waar dat je, om ongenode gasten kwijt te raken, meerdere "jagers" tegelijk moet sturen om naar rootkits te zoeken.

Rootkit-detectie

Tijdens het testen bleek dat niet alle ‘rootkitjagers’ vermomde ‘plagen’ aan het licht kunnen brengen. Slechts drie programma's konden alle actieve rootkits detecteren: testwinnaar Gmer 1.0, AVG Anti-Rootkit en Rootkit Unhooker. Iedereen die deze toepassingen gebruikt, kan er zeker van zijn dat zijn computer niet wordt aangevallen door “onzichtbare plagen”. Bovendien was Gmer het enige programma dat alle rootkits in de alternatieve datastromen wist te vinden.

Rootkits verwijderen

De situatie met het verwijderen van kwaadaardige “software” was niet beter. Hoewel Gmer alle rootkits vond, kon hij slechts 63% ervan vernietigen, evenals 87% van de andere gevaarlijke programma's vermomd als ‘bedrijf’. Het ongedierte dat zich in alternatieve datastromen verstopte, had zelfs nog minder geluk: harde schijven Van geen van hen zijn testcomputers meer over. Dit bracht de programmaoverwinning. Maar bij de tweede prijswinnaar werd een groter aandeel actieve rootkits verwijderd: bijna een kwart (86,67%). In het onwaarschijnlijke geval dat de winnaar van de Gmer-test er niet uit kan komen harde schijf alle ongedierte zal AVG Anti-Rootkit de klus klaren.

De controles zijn te ingewikkeld

Dat het opsporen van verborgen kwaadaardige software een serieuze zaak is, blijkt uit de complexiteit van programmabeheer. De interface van alle applicaties die aan de test deelnemen is in het Engels en onbegrijpelijke berichten kunnen zelfs een ervaren gebruiker in verwarring brengen...

Kortom

Tot onze vreugde is de testwinnaar dat wel Gmer 1.0- en tweede prijswinnaar, AVG Anti-Rootkit, ontdekte dat alle 30 rootkits ‘verborgen’ waren computers testen, en rapporteerde regelmatig over anderen verborgen gevaren. Gmer herkende ook al het ‘vermomde ongedierte’ dat zich in alternatieve datastromen verstopte (dit heeft het de eindoverwinning opgeleverd). EN Gem, En AVG Anti-Rootkit verwijderen de meeste“ongedierte” gevonden, maar nog steeds niet allemaal... Bereiken maximaal effect staat toe gelijktijdig gebruik deze twee programma's. Alle andere anti-rootkits kregen een ‘slechte’ beoordeling.