Find rootkit og beskyt dig selv mod det
Meget af den malware, der bruges af kriminelle rundt om i verden, bliver ikke opdaget af deres ofre. Dette skyldes også malware som rootkit. Vi viser dig på en letforståelig måde, hvad et rootkit er, hvilke typer der findes, og hvordan du kan beskytte din computer mod dem med de rigtige værktøjer.
Hvad er et rootkit?
Et rootkit er malware, der er skjult meget dybt i operativsystemet. På grund af deres programmering kan rootkits derfor normalt kun opdages og fjernes med den passende antivirus -software.
Rootkits centrale funktion er at give tredjeparter adgang til en udenlandsk computer. Du kan styre det eksternt, manipulere det eller stjæle data. Rootkit -angreb bruges også for eksempel til at installere software, som angribere kan styre et botnet eksternt med.
Et rootkit består normalt af et bundt malware. Et rootkit kan indeholde keyloggers, bots eller ransomware.
Info: Hvor kommer navnet "rootkit" fra?
Udtrykket "rootkit" består af ordene "root" (tysk = root = højeste bibliotek i et filsystem; bruger med alle administratorrettigheder) og "kit" (tysk = sæt). Rootkit er en helt neutral samling af softwareprogrammer, der kan bruge administratorrettigheder. Men når disse rettigheder bruges til at genindlæse malware, bliver selve rootkit til malware.
Rootkit: Der er disse typer
Rootkits klassificeres normalt baseret på den dybde, hvormed de virker i filsystemet på den pågældende computer.
|
Brugertilstand rootkits |
Den vigtigste påvirkning af disse rootkits er administratorkontoen på din computer. Malwaren har alle fordelene ved admin -adgang til filer eller programmer og kan f.eks. Ændre sikkerhedsindstillinger. Det vanskelige ved disse rootkits: De startes automatisk hver gang computeren genstartes. |
|
Kernemodel rootkits |
Disse rootkits fungerer direkte på operativsystemniveau og har dermed mulighed for at manipulere alle områder af operativsystemet. Selv virusscannerscanninger kan producere forkerte resultater, hvis de inficeres med en kernel mode rookit. Imidlertid skal kernel rootkits overvinde rigtig mange forhindringer, før de kan sidde fast i kernen. De bliver normalt bemærket på forhånd, fx fordi computeren bliver ved med at gå ned. |
|
Firmware rootkits |
Disse rootkits kan implantere firmwaren i computersystemer. Når de er slettet, geninstalleres de automatisk hver gang du genstarter. Dette gør firmware rootkits særligt vedholdende og gør det svært at fjerne dem. |
|
Boot kits |
Disse rootkits sidder fast i støvlesektoren. Når du starter din pc, bruger systemet master boot -posten. Der finder du også boot -kittet, som indlæses hver gang du starter. Brugere af nyere Windows -operativsystemer som f.eks. 8 eller 10. har vigtig beskyttelse. Disse versioner har allerede sikkerhedssystemer, der forhindrer opstartssæt i at starte, når computeren tændes. |
|
Virtuelle rootkits |
Disse rootkits installerer sig selv på en virtuel maskine og kan få adgang til en inficeret computer uden for det egentlige operativsystem. Dette gør det svært for virusbeskyttelsessoftware at opdage. |
| Hybrid rootkits | Disse rootkits deler softwaren og installerer dele af den i kernen og andre dele på brugerniveau. Disse rootkits er fordelagtige for kriminelle, fordi de kører meget stabilt på brugerniveau og samtidig virker i kernen, det vil sige camoufleret. |
For at beskytte mod disse lumske trusler skal virusscannere blandt andet have ajourførte virusdefinitioner.
Hvordan kommer et rootkit ind på computeren?
Rootkits har altid brug for et "køretøj", som de kan implantere sig selv på en computer. Som regel består et rootkit derfor altid af tre komponenter, selve rootkit, dropper og loader. Dråben kan sammenlignes med en computervirus, der inficerer din computer. Fordi dropperen leder efter et sikkerhedshul for at gemme rootkit på den ønskede enhed. Herefter bruges læsseren. Det installerer rootkit på den inficerede computer, f.eks. I kernen eller på brugerniveau, hvis det er et rootkit i brugerform.
Rootkits bruger følgende medier til at slippe:
|
budbringer |
For eksempel, hvis du modtager et ondsindet link eller en fil via en messenger, og du åbner linket eller filen, kan dropperen placere rootkit på din enhed. |
|
Hacket software og apps: |
Rootkits kan "smugles" ind i pålidelig software eller apps af hackere. Filerne distribueres f.eks. På internettet som gratis tilbud. Så snart du installerer disse programmer, vil du også downloade rootkit til din computer. |
| PDF- eller Office -filer: | Rootkits kan gemme sig i Office -filer eller PDF -filer, enten som en vedhæftet fil eller som download. Så snart du åbner filen, indsætter dropperen filen i din computer, og læsseren begynder at installere i baggrunden. |
Hvordan genkender jeg et rootkit på min computer (rootkit -scanner)?
For pålideligt at opdage rootkits og derefter fjerne dem, kræves en rootkit-scanner, som er inkluderet i virusscanningen af kraftfulde antivirusprogrammer. For eksempel kan disse scanninger genkende almindelige rootkit -signaturer. Med disse signaturer er tallene i koden arrangeret i en bestemt form. Men der er også nogle tegn på din computer, der kan indikere en mulig infektion med et rootkit.
- Usædvanlig adfærd på din computer: Rootkits er kendetegnet ved deres upåagtede. Det kan dog ske, at din computer opfører sig anderledes end normalt, f.eks. Ved utilsigtet at åbne programmer eller starte processer, som du ikke startede.
- Dine systemindstillinger ændres uden handling fra din side: Hvis du f.eks. Finder ud af, at din computer generelt tillader fjernadgang eller åbner porte, kan et rootkit være årsagen.
- Analyse af hukommelsesdumpen: Når en computer går ned, opretter Windows et systemhukommelsesbillede. Eksperter kan bruge denne fil til at identificere usædvanlige mønstre, som et rootkit skaber.
- Din internetforbindelse er altid ustabil: Rootkits kan for eksempel sikre store datastrømme, hvorigennem hackere kan få adgang til data. Disse databevægelser kan gøre din internetlinje meget langsom eller endda få den til at gå ned.
Hvordan kan jeg beskytte mig selv mod et rootkit?
Den vigtigste beskyttelse mod rootkits er brugen af et opdateret virusbeskyttelsesprogram. Udstyret med de nyeste virusdefinitioner kan beskyttelse i realtid advare dig om farlige downloads og installationer og bruge en virusscanner til regelmæssigt at kontrollere din computer for rootkits.
Derudover anbefales følgende foranstaltninger:
- Brug kun en brugerkonto i hverdagen og ikke administratortilgang: Hvis du logger ind på Windows eller iOS med en gæstekonto, har du kun begrænsede rettigheder. Hvis du inficerer din computer med et rootkit i denne periode, kan droperen kun få adgang til dette brugerniveau og f.eks. Ikke direkte få adgang til kernen.
- Opdater dit operativsystem og software regelmæssigt: Producenter lukker kendte sikkerhedshuller med regelmæssige opdateringer. Det er derfor vigtigt, at du udfører alle nødvendige opdateringer.
- Download filer fra Internettet kun fra velrenommerede websteder: Undgå potentielt farlige downloads, minimer risikoen for at blive offer for et rootkit.
- Åbn kun vedhæftede filer fra afsendere, du har tillid til: Hvis du modtager e-mails fra afsendere med kryptiske e-mail-adresser, er det bedst at slette dem. Hvis en vedhæftet e-mail fra en kendt adresse lyder mærkelig for dig, er det bedre at kontakte afsenderen igen, før du åbner vedhæftede filer.
- Installer kun smartphone -apps fra de officielle app -butikker: Hvis du får apps fra officielle kilder, gennemgår de allerede et sikkerhedstjek. Dette reducerer risikoen for at indlæse et rootkit på din smartphone.
Fjern rootkit - hvordan du fortsætter
Du bør altid fjerne rootkits med speciel antivirussoftware. Da denne malware kan ligge dybt inde i din computers operativsystem, er manuel fjernelse normalt meget vanskelig. Hvis du glemmer små rester af rootkit, når du sletter det, vil det normalt geninstallere sig selv, når du genstarter.
Den bedste måde at fjerne rootkits på er at bruge et opdateret antivirusprogram, der har de mest opdaterede virusdefinitioner. En virusscanning i fejlsikret tilstand anbefales derefter, så rootkit f.eks. Ikke kan genindlæse data fra Internettet. Det er ofte nødvendigt at køre virus- eller malware -scanningen flere gange for helt at fjerne et rootkit.
Denne artikel giver dig detaljerede instruktioner om, hvordan du finder og sletter rootkits.
Kendte rootkits
Rootkits er meget gamle internettrusler. Et af de første kendte rootkits er malware, der hovedsageligt angreb Unix -operativsystemer i 1990. Det første kendte rootkit til Windows -computere var NTR rootkit, som var i omløb i 1999. Dette er en kernel rootkit.
Mellem 2003 og 2005 var der forskellige større angreb med rootkits, herunder et angreb på mobiltelefoner, der blev aktiveret i Vodafone Grækenlands netværk. Dette rootkit blev kendt som "græsk Watergate", fordi blandt andet den græske premierminister blev påvirket.
I 2008 rasede TDL-1 boot kit. Cyberkriminelle brugte det til at bygge et stort botnet ved hjælp af en trojansk hest.
Et rootkit blev først opdaget i 2009, der også inficerer Apple -operativsystemer. Den blev døbt "Machiavelli".
I 2010 rasede Stuxnet -ormen. Blandt andet brugte han et rootkit, der skulle spionere det iranske atomprogram. De israelske og amerikansk-amerikanske hemmelige tjenester mistænkes for at være udviklere og angribere.
Med LoJax blev der i 2022-2023 opdaget et rootkit, der inficerer firmwaren på bundkortet på en computer for første gang. Dette gør det muligt for malware at genaktivere sig selv, når operativsystemet geninstalleres.
Konklusion: Vanskelig at opdage, men med opdateret antivirussoftware og forsigtighed kan risikoen reduceres
Da rootkits er dybt integreret i en computers operativsystem, er forebyggelse særlig vigtig. Når først et rootkit er installeret, er det svært for lægfolk at opdage en infektion. Enhver, der er forsigtig på Internettet med et up-to-date virusbeskyttelsessystem og de passende værktøjer, og som ikke åbner ukendte filer, skødesløshed reducerer sandsynligheden for at blive offer for et rootkit.
