Tunnista rootkit ja suojaudu siltä
Uhrit eivät havaitse suurta osaa rikollisten käyttämistä haittaohjelmista ympäri maailmaa. Tämä johtuu myös haittaohjelmista, kuten rootkitista. Näytämme sinulle helposti ymmärrettävällä tavalla, mikä on rootkit, mitä tyyppejä on olemassa ja miten voit suojata tietokoneesi niistä oikeilla työkaluilla.
Mikä on rootkit?
Rootkit on haittaohjelma, joka on piilotettu hyvin syvälle käyttöjärjestelmään. Ohjelmoinnin vuoksi rootkitit voidaan yleensä havaita ja poistaa vain asianmukaisella virustentorjuntaohjelmistolla.
Rootkit -ohjelmistojen keskeinen tehtävä on antaa kolmansille osapuolille pääsy vieraaseen tietokoneeseen. Voit hallita sitä etänä, manipuloida sitä tai varastaa tietoja. Rootkit -hyökkäyksiä käytetään myös esimerkiksi ohjelmistojen asentamiseen, joiden avulla hyökkääjät voivat hallita botnet -verkkoa etänä.
Rootkit koostuu yleensä haittaohjelmapaketista. Rootkit voi sisältää keyloggereita, botteja tai lunnasohjelmia.
Info: Mistä nimi "rootkit" tulee?
Termi "rootkit" koostuu sanoista "root" (saksa = root = tiedostojärjestelmän korkein hakemisto; käyttäjä, jolla on kaikki järjestelmänvalvojan oikeudet) ja "kit" (saksa = set). Rootkit on täysin neutraali ohjelmistosovellus, joka voi käyttää järjestelmänvalvojan oikeuksia. Mutta kun näitä oikeuksia käytetään haittaohjelmien lataamiseen uudelleen, rootkitista tulee haittaohjelma.
Rootkit: Näitä tyyppejä on
Pääsarjat luokitellaan yleensä sen mukaan, millä syvyydellä ne toimivat kyseisen tietokoneen tiedostojärjestelmässä.
Käyttäjätilan rootkitit |
Pääasiassa nämä rootkitit vaikuttavat tietokoneen järjestelmänvalvojan tiliin. Haittaohjelmalla on kaikki edut järjestelmänvalvojan pääsyyn tiedostoihin tai ohjelmiin, ja se voi esimerkiksi muuttaa suojausasetuksia. Näiden juuripakettien hankala asia: Ne käynnistyvät automaattisesti aina, kun tietokone käynnistetään uudelleen. |
Ytimen malli rootkitit |
Nämä rootkitit toimivat suoraan käyttöjärjestelmän tasolla, joten niillä on mahdollisuus manipuloida kaikkia käyttöjärjestelmän alueita. Jopa virustarkistustarkistukset voivat tuottaa vääriä tuloksia, jos he ovat saaneet ytimen tilan alokas. Ytimen juuripakettien on kuitenkin voitettava paljon esteitä, ennen kuin ne voivat juuttua ytimeen. Ne havaitaan yleensä etukäteen, esim. Koska tietokone kaatuu jatkuvasti. |
Firmware rootkitit |
Nämä juuripaketit voivat istuttaa tietokonejärjestelmien laiteohjelmiston. Kun ne on poistettu, ne asennetaan automaattisesti aina uudelleenkäynnistyksen yhteydessä. Tämä tekee laiteohjelmiston juuripaketeista erityisen pysyviä ja vaikeuttaa niiden poistamista. |
Saappaat |
Nämä rootkitit jumittuvat käynnistyssektoriin. Kun käynnistät tietokoneen, järjestelmä käyttää pääkäynnistystietuetta. Sieltä löydät myös käynnistyssarjan, joka ladataan joka kerta, kun käynnistät. Uudempien Windows -käyttöjärjestelmien, kuten 8 tai 10., käyttäjillä on tärkeä suoja. Näissä versioissa on jo turvajärjestelmät, jotka estävät käynnistyssarjojen käynnistymisen, kun tietokone käynnistetään. |
Virtuaaliset rootkitit |
Nämä juuripaketit asentavat itsensä virtuaalikoneelle ja voivat käyttää tartunnan saanutta tietokonetta varsinaisen käyttöjärjestelmän ulkopuolella. Tämä vaikeuttaa virustorjuntaohjelmiston havaitsemista. |
Hybridi rootkitit | Nämä juuripaketit jakavat ohjelmiston ja asentavat sen osat ytimeen ja muita osia käyttäjätasolle. Nämä rootkitit ovat hyödyllisiä rikollisille, koska ne toimivat erittäin vakaasti käyttäjätasolla ja toimivat samalla ytimessä eli naamioituina. |
Suojautuakseen näiltä salakavalan uhkilta muun muassa virustentorjuntaohjelmilla on oltava ajantasaiset virusten määritelmät.
Miten rootkit pääsee tietokoneelle?
Rootkitit tarvitsevat aina "ajoneuvon", jolla he voivat istuttaa itsensä tietokoneelle. Pääsääntöisesti rootkit koostuu siis aina kolmesta osasta, itse rootkitista, dropperista ja loaderista. Pudotin on verrattavissa tietokonevirukseen, joka tartuttaa tietokoneesi. Koska tiputin etsii suoja -aukkoa rootkitin tallentamiseksi halutulle laitteelle. Sitten käytetään kuormainta. Se asentaa rootkitin tartunnan saaneelle tietokoneelle, esimerkiksi ytimeen tai käyttäjätasolle, jos se on käyttäjätilan rootkit.
Rootkitit pudottavat seuraavaa materiaalia:
sanansaattaja |
Jos esimerkiksi saat haitallisen linkin tai tiedoston messengerin kautta ja avaat linkin tai tiedoston, dropper voi sijoittaa rootkit -laitteen laitteellesi. |
Hakkeroidut ohjelmistot ja sovellukset: |
Hakkerit voivat "salakuljettaa" rootkitit luotettaviin ohjelmistoihin tai sovelluksiin. Tiedostot jaetaan Internetissä esimerkiksi ilmaisina tarjouksina. Heti kun asennat nämä ohjelmat, lataat myös rootkitin tietokoneellesi. |
PDF- tai Office -tiedostot: | Rootkitit voivat piiloutua Office -tiedostoihin tai PDF -tiedostoihin sähköpostin liitteenä tai ladattuna. Heti kun avaat tiedoston, tiputin lisää tiedoston tietokoneeseen ja latauslaite aloittaa asennuksen taustalla. |
Miten tunnistan tietokoneessa olevan rootkitin (rootkit -skannerin)?
Jotta rootkitit voidaan tunnistaa luotettavasti ja poistaa sitten, tarvitaan rootkit-skanneri, joka sisältyy tehokkaiden virustentorjuntaohjelmien virustarkistukseen. Nämä skannaukset voivat esimerkiksi tunnistaa tavallisia rootkit -allekirjoituksia. Näillä allekirjoituksilla koodin numerot on järjestetty tiettyyn muotoon. Mutta tietokoneessasi on myös joitain merkkejä, jotka voivat viitata mahdolliseen rootkit -tartuntaan.
- Tietokoneesi epätavallinen toiminta: Juuripaketeille on ominaista niiden huomaamattomuus. On kuitenkin mahdollista, että tietokoneesi käyttäytyy eri tavalla kuin tavallisesti, esim. Avaamalla tahattomasti ohjelmia tai käynnistämättä käynnistämiäsi prosesseja.
- Järjestelmäasetuksesi muuttuvat ilman mitään toimenpiteitä: Jos huomaat esimerkiksi, että tietokoneesi sallii yleensä etäkäytön tai avaa portit, syy voi olla rootkit.
- Muistin tyhjennyksen analyysi: Kun tietokone kaatuu, Windows luo järjestelmän muistikuvan. Asiantuntijat voivat käyttää tätä tiedostoa tunnistamaan epätavallisia malleja, jotka rootkit luo.
- Internet -yhteys on aina epävakaa: Rootkitit voivat esimerkiksi varmistaa suuria tietovirtoja, joiden kautta hakkerit voivat käyttää tietoja. Nämä tiedonsiirrot voivat tehdä Internet -linjastasi erittäin hitaan tai jopa aiheuttaa sen kaatumisen.
Kuinka voin suojautua rootkitilta?
Tärkein suoja rootkit-ohjelmia vastaan on ajantasaisen virustorjuntaohjelman käyttö. Reaaliaikainen suojaus, jossa on uusimmat virustunnisteet, voi varoittaa vaarallisista latauksista ja asennuksista ja tarkistaa virustentorjuntaohjelman avulla tietokoneesi säännöllisesti rootkit-ohjelmien varalta.
Lisäksi suositellaan seuraavia toimenpiteitä:
- Käytä vain yhtä käyttäjätiliä jokapäiväisessä elämässä äläkä järjestelmänvalvojan oikeuksia: Jos kirjaudut Windowsiin tai iOS: ään vierastilillä, sinulla on vain rajoitetut oikeudet. Jos tartutat tietokoneesi rootkitilla tänä aikana, dropper voi käyttää vain tätä käyttäjätasoa eikä esimerkiksi suoraan ytimeen.
- Päivitä käyttöjärjestelmäsi ja ohjelmistosi säännöllisesti: Valmistajat korjaavat tunnetut tietoturva -aukot säännöllisin päivityksin. Siksi on välttämätöntä suorittaa kaikki tarvittavat päivitykset.
- Lataa tiedostoja Internetistä vain hyvämaineisilta sivustoilta: Vältä mahdollisesti vaarallisia latauksia ja minimoi riski joutua rootkitin uhriksi.
- Avaa sähköpostiliitteet vain luotetuilta lähettäjiltä: Jos saat sähköpostiviestejä lähettäjiltä, joilla on salaisia sähköpostiosoitteita, on parasta poistaa ne. Jos sähköpostiliite tutusta osoitteesta kuulostaa oudolta, on parempi tarkistaa lähettäjältä uudelleen ennen sähköpostin liitteen avaamista.
- Asenna älypuhelinsovellukset vain virallisista sovelluskaupoista: Jos saat sovelluksia virallisista lähteistä, ne käyvät jo turvatarkastuksen läpi. Tämä vähentää riskiä ladata rootkit älypuhelimeesi.
Poista rootkit - miten edetä
Sinun on aina poistettava rootkitit erityisellä virustorjuntaohjelmistolla. Koska tämä haittaohjelma voi tunkeutua syvälle tietokoneen käyttöjärjestelmään, manuaalinen poistaminen on yleensä erittäin vaikeaa. Jos unohdat pienet jäänteet rootkitista poistettaessa sitä, se yleensä asentaa itsensä uudelleen, kun käynnistät sen uudelleen.
Paras tapa poistaa rootkit on käyttää ajantasaista virustentorjuntaohjelmaa, jolla on uusimmat virustunnisteet. Virustarkistus turvatilassa on sitten suositeltavaa, jotta rootkit ei voi esimerkiksi ladata dataa uudelleen Internetistä. On usein tarpeen suorittaa virus- tai haittaohjelmatarkistus useita kertoja rootkitin poistamiseksi kokonaan.
Tässä artikkelissa on yksityiskohtaiset ohjeet rootkit -tiedostojen löytämisestä ja poistamisesta.
Tunnetut juuripaketit
Rootkitit ovat hyvin vanhoja Internet -uhkia. Yksi ensimmäisistä tunnetuista juuripaketeista on haittaohjelma, joka hyökkäsi pääasiassa Unix -käyttöjärjestelmiin vuonna 1990. Ensimmäinen tunnettu rootkit Windows -tietokoneille oli NTR rootkit, joka oli liikkeessä vuonna 1999. Tämä on ytimen rootkit.
Vuosien 2003 ja 2005 välillä oli useita suuria rootkit -iskuja, mukaan lukien hyökkäys matkapuhelimiin, jotka aktivoitiin Vodafone Greece -verkossa. Tämä juuripaketti tunnettiin nimellä "Kreikan Watergate", koska se vaikutti muun muassa Kreikan pääministeriin.
Vuonna 2008 TDL-1-käynnistyssarja raivostui. Verkkorikolliset käyttivät sitä rakentaakseen suuren botnetin troijalaisen avulla.
Vuonna 2009 löydettiin ensimmäisen kerran rootkit, joka tartuttaa myös Applen käyttöjärjestelmiä. Se kastettiin "Machiavelliksi".
Vuonna 2010 Stuxnet -mato raivosi. Hän käytti muun muassa juuripakettia, jonka oli tarkoitus vakoilla Iranin ydinohjelmaa. Israelin ja Yhdysvaltain-Amerikan salaisten palvelujen epäillään olevan kehittäjiä ja hyökkääjiä.
LoJaxin avulla löydettiin vuosina 2022-2023 juuripaketti, joka tartuttaa tietokoneen emolevyn laiteohjelmiston ensimmäistä kertaa. Tämä mahdollistaa haittaohjelman aktivoitumisen uudelleen, kun käyttöjärjestelmä asennetaan uudelleen.
Johtopäätös: Vaikea havaita, mutta ajantasaisella virustentorjuntaohjelmistolla ja varovaisuudella riskiä voidaan pienentää
Koska rootkitit on upotettu syvälle tietokoneen käyttöjärjestelmään, ennaltaehkäisy on erityisen tärkeää. Kun rootkit on asennettu, maallikoiden on vaikea havaita infektio. Kuitenkin jokainen, joka on varovainen Internetissä ajantasaisen virustorjuntajärjestelmän ja asianmukaisten työkalujen kanssa ja joka ei avaa tuntemattomia tiedostoja huolimattomasti, vähentää todennäköisyyttä joutua rootkitin uhriksi.