četvrtak, 30. lipnja 2011.

Rootkit

Rootkit je skup alata koji napadaču omogućuje neovlašteno dobivanje administratorskih ovlasti te prikrivanje znakova malicioznih aktivnosti na kompromitiranom računalu. Rootkit najčešće skriva određene log zapise, procese i datoteke kako bi se prikrile aktivnosti drugih tipova malicioznih programa, uglavnom Backdoor programa, Sniffera, Keyloggera ili Spam-a i DDOS agenata.

Postoje dvije osnovne vrste rootkit alata: aplikacijski i kernelski rootkiti. Aplikacijski rootkiti koriste metodu zamjene legitimnih datoteka s malicioznima kako bi se prikrila napadačeva prisutnost i neovlaštene aktivnosti u sustavu.
Kernelski rootkit alati postavljeni su na razini jezgre operacijskog sustava te ih je teže otkriti pošto su integrirani u sam operacijski sustav i zbog čega posjeduju vrlo visoku razinu kontrole nad sistemskim komponentama.

Detekcija rootkita, kao i njegovo uklanjanje, vrlo je zahtjevan postupak. Većina programa zadužena za računalnu sigurnost reći će da je sustav čist, mada će i laiku biti jasno da mu se nešto “gadno naselilo” na računalo.

Detekcija rootkita

Pogledate li u TaskManager, nećete moći vidjeti rootkit, pa ga samim time nećete moći ni isključiti. Antivirusni alati često su u stanju pronaći rootkit i izvijestiti vas o njegovu uspješnom uklanjanju, no već prilikom prvog sljedećeg pokretanja sustava shvatit ćete da se stanje nije promijenilo te da je rootkit i dalje tu. Posebno pisani programi kojima je cilj otkrivanje i uklanjanje rootkita imaju nešto veći postotak uspješnosti, no – ukupno gledajući – rezultat njihova rada često je upitan. Besplatni Avast, Sophos Antirootkit i GMER samo su neki od programa koji vam mogu pomoći kada posumnjate na zarazu sustava rootkitom. Cijelu listu dostupnih alata, zajedno s uputama za njihovo korištenje i nizom vrlo korisnih informacija, možete naći na dobro poznatoj stranici www.antirootkit.com.

Uklanjanje rootkita 

Kako to i inače biva, što je neki proces sofisticiraniji to ga je teže otkriti, no svaki proces ima i svoju slabu točku. Stoga se često može čuti mišljenje stručnjaka koji smatraju da se rootkit najlakše može ukloniti ako operacijski sustav nije pokrenut. Naime, samim time rootkit neće moći koristiti svoje metode skrivanja od operacijskog sustava i antivirusnih aplikacija, pa bi ga program prilikom skeniranja mogao otkriti i bez problema obrisati.
Program koji bi vam mogao pomoći u tom zadatku jest Kaspersky Rescue Disk, koji u obliku ISO datoteke možete pronaći na adresi http://support.kaspersky.com/viruses/rescuedisk.

Smisao njegova korištenja sastoji se u tome da operacijski sustav ostane netaknut, ali i da se učinkovito riješite rootkita, kao i svih ostalih malicioznih datoteka koje su se nekako uspjele ugnijezditi u sustav. Ako imate računalo koje je opremljeno mrežnom karticom i preko nje je spojeno na Internet, ovaj će program najprije preuzeti najnoviju definiciju koja će mu omogućiti efikasniji rad. Što se tiče komercijalnih programa, spomenut ćemo samo jedan – UnhackMe, koji možete pronaći na adresi http://greatis.com/unhackme/.

Na kraju, dužni smo vas upozoriti da će većina zaraza rootkitom završiti tako što ćete morati napraviti novu, čistu instalaciju operacijskog sustava. Ako prije toga poželite spasiti podatke, dobro ih pregledajte prije nego što ih ponovno počnete koristiti jer se možda u nekoj datoteci nalazi rootkit. U tom slučaju borba protiv rootkita i utrošeno vrijeme bili bi, nažalost, uzaludni.

Opis od g. Predraga Kurtovića, stalnog suradnika magazina PcChip 

 Za kraj koristan link

Nema komentara:

Objavi komentar

Poruka će biti vidljiva nakon provjere.