Хотя можно скрыть вредоносное ПО так, что оно обманет даже традиционные антивирусные и антишпионские продукты, большинство вредоносных программ уже используют руткиты, чтобы глубоко спрятаться на вашем ПК с Windows … и они становятся все более опасными! Руткит DL3^(DL3) — один из самых передовых руткитов, когда-либо встречавшихся в дикой природе. Руткит был стабилен и мог заражать 32-битные операционные системы Windows ; хотя для установки заразы в систему нужны были права администратора. Но теперь TDL3 обновился и теперь способен заражать даже 64-битные версии Windows^{(even 64-bit versions  Windows)} !

Что такое руткит

Вирус-руткит — это скрытое вредоносное ПО  , предназначенное для сокрытия существования определенных процессов или программ на вашем компьютере от обычных методов обнаружения, чтобы предоставить ему или другому вредоносному процессу привилегированный доступ к вашему компьютеру.

Руткиты для Windows^{(Rootkits for Windows)} обычно используются для сокрытия вредоносного программного обеспечения, например, от антивирусной программы. Он используется в вредоносных целях вирусами, червями, бэкдорами и шпионскими программами. Вирус в сочетании с руткитом создает так называемые полные стелс-вирусы. Руткиты более распространены в области шпионского ПО, и теперь они также все чаще используются авторами вирусов.

В настоящее время они представляют собой новый тип супершпионского ПО^{(Super Spyware)} , которое эффективно прячется и напрямую влияет на ядро ​​операционной системы. Они используются, чтобы скрыть присутствие вредоносных объектов, таких как трояны или кейлоггеры, на вашем компьютере. Если для сокрытия угроза использует технологию руткитов, найти вредоносное ПО на вашем ПК очень сложно.

Сами по себе руткиты не опасны. Их единственная цель — скрыть программное обеспечение и следы, оставленные в операционной системе. Будь то обычное программное обеспечение или вредоносные программы.

Существует три основных типа руткитов^(Rootkit) . Первый тип, « руткиты ядра^{(Kernel Rootkits)} », обычно добавляет свой собственный код к частям ядра операционной системы, тогда как второй тип, « руткиты пользовательского режима^{(User-mode Rootkits)} », специально предназначены для Windows , чтобы нормально запускаться во время запуска системы. или вводят в систему так называемой «капельницей». Третий тип — MBR Rootkits или Bootkits^{(MBR Rootkits or Bootkits)} .

Когда вы обнаружите, что ваш AntiVirus & AntiSpyware не работает, вам может понадобиться помощь хорошей утилиты Anti-Rootkit^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} . RootkitRevealer от Microsoft Sysinternals — это расширенная утилита для обнаружения руткитов. В его выходных данных перечислены несоответствия API реестра^(Registry) и файловой системы , которые могут указывать на наличие руткита режима пользователя или режима ядра.

Отчет^{(Microsoft Malware Protection Center Threat Report)} об  угрозах Центра защиты от вредоносных программ Майкрософт о руткитах^(Rootkits)

Центр защиты от вредоносных программ Майкрософт^{(Microsoft Malware Protection Center)} сделал доступным для загрузки отчет^{(Threat Report)} об угрозах руткитов^(Rootkits) . В отчете рассматривается один из самых коварных типов вредоносных программ, угрожающих сегодня организациям и отдельным лицам, — руткиты. В отчете рассматривается, как злоумышленники используют руткиты и как руткиты работают на зараженных компьютерах. Вот суть отчета, начиная с того, что такое руткиты^(Rootkits) — для новичков.

Руткит^(Rootkit) — это набор инструментов, которые злоумышленник или создатель вредоносного ПО использует для получения контроля над любой открытой/незащищенной системой, которая в противном случае обычно предназначена для системного администратора. В последние годы термин «РУТКИТ» или «ФУНКЦИОНАЛЬНОСТЬ РУТКИТА» был заменен на ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ —^{(MALWARE –)} программа, предназначенная для оказания нежелательного воздействия на работоспособный компьютер. Основная функция вредоносного ПО — тайно извлекать ценные данные и другие ресурсы с компьютера пользователя и предоставлять их злоумышленнику, тем самым предоставляя ему полный контроль над скомпрометированным компьютером. Кроме того, их трудно обнаружить и удалить, и они могут оставаться скрытыми в течение длительного времени, возможно, годами, если их не заметят.

Поэтому, естественно, симптомы взломанного компьютера необходимо замаскировать и принять во внимание, прежде чем результат окажется фатальным. В частности, необходимо принять более строгие меры безопасности для раскрытия атаки. Но, как уже упоминалось, после установки этих руткитов/вредоносных программ их скрытность затрудняет их удаление и их компоненты, которые они могут загрузить. По этой причине Microsoft создал отчет о руткитах^(ROOTKITS) .

В 16-страничном отчете описывается, как злоумышленник использует руткиты и как эти руткиты работают на зараженных компьютерах.

Единственной целью отчета является выявление и тщательное изучение потенциально опасных вредоносных программ, угрожающих многим организациям, в частности пользователям компьютеров. В нем также упоминаются некоторые из распространенных семейств вредоносных программ и раскрывается метод, который злоумышленники используют для установки этих руткитов в своих корыстных целях на исправные системы. В оставшейся части отчета вы найдете рекомендации экспертов, которые помогут пользователям уменьшить угрозу со стороны руткитов.

Типы руткитов

Есть много мест, где вредоносное ПО может установить себя в операционную систему. Таким образом, в основном тип руткита определяется его местонахождением, где он выполняет подрыв пути выполнения. Это включает:

1. Руткиты пользовательского режима
2. Руткиты режима ядра
3. MBR-руткиты/буткиты

Возможный эффект компрометации руткита в режиме ядра показан на снимке экрана ниже.

Третий тип — изменить основную загрузочную запись^{(Master Boot Record)} , чтобы получить контроль над системой и начать процесс загрузки с самого раннего возможного момента в последовательности загрузки3. Он скрывает файлы, изменения реестра, свидетельства сетевых подключений, а также другие возможные индикаторы, которые могут указывать на его присутствие.

Известные семейства вредоносных программ^(Malware) , использующие функции руткитов^(Rootkit)

• Win32/Sinowal 13 — многокомпонентное семейство вредоносных программ, которые пытаются украсть конфиденциальные данные, такие как имена пользователей и пароли для различных систем. Это включает в себя попытку кражи данных аутентификации для различных учетных записей FTP , HTTP и электронной почты, а также учетных данных, используемых для онлайн-банкинга и других финансовых транзакций.
• Win32/Cutwail 15 — троянец^(Trojan) , загружающий и запускающий произвольные файлы. Загруженные файлы могут выполняться с диска или внедряться непосредственно в другие процессы. В то время как функциональность загружаемых файлов может быть разной, Cutwail обычно загружает другие компоненты, рассылающие спам. Он использует руткит режима ядра и устанавливает несколько драйверов устройств, чтобы скрыть свои компоненты от уязвимых пользователей.
• Win32/Rustock  — многокомпонентное семейство троянов^(Trojans) -бэкдоров с поддержкой руткитов, первоначально разработанных для помощи в распространении «спама» через ботнет^(botnet) . Ботнет — это большая сеть взломанных компьютеров, контролируемая злоумышленниками.

Защита от руткитов

Предотвращение установки руткитов — наиболее эффективный способ избежать заражения руткитами. Для этого необходимо инвестировать в защитные технологии, такие как антивирусы и брандмауэры. В таких продуктах должен использоваться комплексный подход к защите с использованием традиционного обнаружения на основе сигнатур, эвристического обнаружения, динамических и чувствительных возможностей сигнатур и мониторинга поведения.

Все эти наборы сигнатур следует поддерживать в актуальном состоянии с помощью автоматического механизма обновления. Антивирусные решения Майкрософт^(Microsoft) включают в себя ряд технологий, разработанных специально для противодействия руткитам, в том числе мониторинг поведения ядра в реальном времени, который обнаруживает и сообщает о попытках изменить ядро ​​​​уязвимой системы, а также прямой анализ файловой системы, который облегчает идентификацию и удаление скрытых драйверов.

Если система обнаружена скомпрометированной, может оказаться полезным дополнительный инструмент, позволяющий загрузиться в заведомо исправную или надежную среду, поскольку он может предложить некоторые соответствующие меры по исправлению.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

При таких обстоятельствах

1. Автономный инструмент System Sweeper^{(Standalone System Sweeper)} (часть набора средств диагностики^{(Diagnostics)} и восстановления ^{(Recovery Toolset)}Microsoft ( DaRT )
2. Автономный Защитник^{(Defender Offline)} Windows может быть полезен.

Для получения дополнительной информации вы можете загрузить отчет в формате PDF из ^(PDF)Центра загрузки Майкрософт.^{(Microsoft Download Center.)}

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is poѕsible to hide malware in а way that will fool even the tradіtional antivirus/antispyware products, most malware programs are already using rootkits to hide deep оn your Windows PC … and they are getting more dangerous! The DL3 rootkit is one of the most advanced rootkits eνer seen in the wіld. The rootkit was stable and could іnfect 32 bit Windows operating systems; although administrator rights were needed to іnstall the infection in the system. But TDL3 has now been updated and is now able tо infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Как избежать Phishing Scams and Attacks?

• Что такое удаленный Access Trojan? Профилактика, Detection & Removal

• Remove virus от USB Flash Drive с использованием Command Prompt or Batch File

• Rogue Security Software or Scareware: Как проверить, предотвратить, удалить?

• Что такое Win32: BogEnt и как его удалить?

• Как удалить Malware с вашего ПК в Windows 10

• Как вы можете получить computer virus, троян, работа, spyware or malware?

• Как удалить Virus Alert от Microsoft на Windows PC

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Что такое Backdoor attack? Meaning, Examples, Definitions

• Что такое Cyber crime? Как с этим иметь дело?

• Проверьте, был ли ваш компьютер заражен ASUS Update Malware

• Browser Hijacking and Free Browser Hijacker Removal Tools

• Что такое IDP.Generic Virus и как его удалить?

• Как проверить Registry для вредоносных программ в Windows 10

• Как удалить или удалить Driver Tonic от Windows 10

• IObit Malware Fighter Free review & download

• Лучшее бесплатное программное обеспечение для удаления шпионских и вредоносных программ

• Как Microsoft идентифицирует нежелательные приложения Malware & Potentially

• Cryptojacking новый browser mining threat Вам нужно знать о