Центр защиты от вредоносных программ Microsoft предоставил для загрузки свой отчет об угрозах для руткитов. В докладе рассматривается один из наиболее коварных типов угрожающих вредоносным организациям и отдельных лиц сегодня - руткит. В отчете рассматривается, как злоумышленники используют руткиты и как руткиты работают на зараженных компьютерах. Вот суть отчета, начиная с того, что Rootkits - для новичка.
Rootkit представляет собой набор инструментов, которые злоумышленник или создатель вредоносного ПО использует для получения контроля над любой открытой / незащищенной системой, которая в противном случае обычно зарезервирована для системного администратора. В последние годы термин «ROOTKIT» или «ROOTKIT FUNCTIONALITY» был заменен MALWARE - программой, предназначенной для нежелательного воздействия на здоровый компьютер. Основная функция Malware заключается в том, чтобы тайно выводить ценные данные и другие ресурсы с компьютера пользователя и предоставлять их злоумышленнику, тем самым предоставляя ему полный контроль над взломанным компьютером. Более того, их трудно обнаружить и удалить, и они могут оставаться скрытыми в течение длительных периодов, возможно, лет, если их не заметить.
Поэтому, естественно, симптомы скомпрометированного компьютера необходимо замаскировать и принять во внимание до того, как результат окажется фатальным. В частности, необходимо принять более строгие меры безопасности, чтобы выявить атаку. Но, как уже упоминалось, после того, как эти руткиты / вредоносные программы установлены, его возможности стелса затрудняют удаление его и его компонентов, которые он может загрузить. По этой причине Microsoft создала отчет о ROOTKITS.
Отчет об угрозах Microsoft Protection Protection для Rootkits
В 16-страничном отчете описывается, как злоумышленник использует руткиты и как эти руткиты работают на затронутых компьютерах.
Типы руткитов
Есть много мест, где вредоносное ПО может установить себя в операционную систему. Таким образом, в основном тип руткита определяется его местоположением, где он выполняет свою подрывную работу пути выполнения. Это включает:
- Руткиты режима пользователя
- Руткиты режима ядра
- MBR Rootkits / bootkits
Возможный эффект компрометации руткитов в режиме ядра проиллюстрирован с помощью экрана ниже.
Известные семейства вредоносных программ, которые используют функции Rootkit
Win32 / Sinowal13 - Многокомпонентное семейство вредоносных программ, которое пытается украсть конфиденциальные данные, такие как имена пользователей и пароли для разных систем. Это включает попытку кражи данных аутентификации для различных учетных записей FTP, HTTP и электронной почты, а также учетных данных, используемых для онлайн-банкинга и других финансовых транзакций.
Win32 / Cutwail15 - троянец, который загружает и выполняет произвольные файлы. Загруженные файлы могут выполняться с диска или вставляться непосредственно в другие процессы. Хотя функциональность загружаемых файлов является переменной, Cutwail обычно загружает другие компоненты, которые отправляют спам.
Он использует руткит режима ядра и устанавливает несколько драйверов устройств, чтобы скрыть свои компоненты от затронутых пользователей.
Win32 / Rustock - Многокомпонентное семейство троянских программ с поддержкой руткитов, разработанных первоначально, чтобы помочь в распространении электронной почты «спама» через ботнет, Ботнет - это крупная атакующая сеть с уязвимыми компьютерами.
Защита от руткитов
Предотвращение установки руткитов является наиболее эффективным методом предотвращения заражения руткитами. Для этого необходимо инвестировать в защитные технологии, такие как антивирусные и брандмауэры. Такие продукты должны применять комплексный подход к защите, используя традиционное обнаружение на основе сигнатур, эвристическое обнаружение, динамическую и отзывчивую способность подписи и мониторинг поведения.
Все эти наборы подписей должны быть обновлены с использованием механизма автоматического обновления. Решения Microsoft для защиты от вирусов включают в себя ряд технологий, разработанных специально для снижения уровня руткитов, включая мониторинг поведения в реальном времени, который обнаруживает и сообщает о попытках изменить ядро затронутой системы, а также прямой синтаксический анализ файловой системы, который облегчает идентификацию и удаление скрытых драйверов.
Если система найдена скомпрометированной, тогда может оказаться полезным дополнительный инструмент, который позволяет загружаться в известную хорошую или доверенную среду, поскольку может предложить некоторые соответствующие меры по исправлению.
В таких обстоятельствах,
- Средство автономной системы Sweeper (часть набора диагностических средств диагностики и восстановления Microsoft (DaRT)
- Защитник Windows Offline может быть полезен.
Для получения дополнительной информации вы можете загрузить отчет PDF из Центра загрузки Microsoft.
Похожие сообщения:
- Список бесплатных программ для руткитов для Windows
- Загрузить McAfee Rootkit Remover для Windows
- Bitdefender Rootkit Remover для Windows выпущен
- Как защитить процесс загрузки Windows 10
- Что такое руткит? Как работают руткиты? Руткиты объяснили.
