Upptäck rootkit och skydda dig från det
Mycket av skadlig programvara som används av kriminella världen över upptäcks inte av deras offer. Detta beror också på skadlig kod som rootkit. Vi visar dig på ett lättförståeligt sätt vad en rootkit är, vilka typer det finns och hur du kan skydda din dator från dem med rätt verktyg.
Vad är en rootkit?
En rootkit är skadlig kod som är dold djupt i operativsystemet. På grund av deras programmering kan rootkits därför vanligtvis bara upptäckas och tas bort med lämpligt antivirusprogram.
Rootkits centrala funktion är att ge tredje part tillgång till en utländsk dator. Du kan fjärrstyra det, manipulera det eller stjäla data. Rootkit -attacker används också, till exempel, för att installera programvara som angripare kan fjärrstyra ett botnät med.
En rootkit består vanligtvis av en bunt med skadlig kod. En rootkit kan innehålla keyloggers, bots eller ransomware.
Info: Var kommer namnet "rootkit" ifrån?
Termen "rootkit" består av orden "root" (tyska = root = högsta katalog i ett filsystem; användare med alla administratörsrättigheter) och "kit" (tyska = set). Rootkiten är en helt neutral samling programvara som kan använda administratörsrättigheter. Men när dessa rättigheter används för att ladda om skadlig kod blir själva rootkiten skadlig kod.
Rootkit: Det finns dessa typer
Rootkits klassificeras vanligtvis baserat på det djup på vilket de verkar i filsystemet för den berörda datorn.
Användarläge rootkits |
Det viktigaste som påverkas av dessa rootkits är administratörskontot på din dator. Skadlig programvara har alla fördelar med administratörsåtkomst till filer eller program och kan till exempel ändra säkerhetsinställningar. Det knepiga med dessa rootkits: De startas automatiskt varje gång datorn startas om. |
Kärnmodell rootkits |
Dessa rootkits fungerar direkt på operativsystemnivå och har därmed möjlighet att manipulera alla delar av operativsystemet. Även virusscanningsskanningar kan ge felaktiga resultat om de infekteras med ett kernel mode rookit. Kärnrotkit måste dock övervinna många hinder innan de kan fastna i kärnan. De märks vanligtvis i förväg, t.ex. för att datorn fortsätter att krascha. |
Firmware rootkits |
Dessa rootkits kan implantera firmware för datorsystem. När de har raderats installeras de automatiskt om varje gång du startar om. Detta gör firmware rootkits särskilt beständiga och gör det svårt att ta bort dem. |
Startpaket |
Dessa rootkits fastnar i boot -sektorn. När du startar din dator använder systemet huvudstartposten. Där hittar du också startpaketet, som laddas varje gång du startar. Användare av nyare Windows -operativsystem som 8 eller 10. har viktigt skydd. Dessa versioner har redan säkerhetssystem som förhindrar startpaket från att starta när datorn slås på. |
Virtuella rootkits |
Dessa rootkits installerar sig själva på en virtuell dator och kan komma åt en infekterad dator utanför själva operativsystemet. Detta gör det svårt för virusskyddsprogram att upptäcka. |
Hybrid rootkits | Dessa rootkits delar programvaran och installerar delar av den i kärnan och andra delar på användarnivå. Dessa rootkits är fördelaktiga för kriminella eftersom de kör mycket stabilt på användarnivå och samtidigt verkar i kärnan, dvs kamoufleras. |
För att skydda mot dessa lömska hot måste virusscannrar bland annat ha uppdaterade virusdefinitioner.
Hur kommer en rootkit in på datorn?
Rootkits behöver alltid ett "fordon" som de kan implantera sig på en dator. Som regel består en rootkit alltid av tre komponenter, själva rootkiten, dropparen och lastaren. Dropparen är jämförbar med ett datavirus som infekterar din dator. Eftersom dropparen letar efter ett säkerhetshål för att spara rootkiten på önskad enhet. Då används lastaren. Den installerar rootkiten på den infekterade datorn, t.ex. i kärnan eller på användarnivå om det är ett rootkit i användarläge.
Rootkits använder följande media för att släppa:
budbärare |
Till exempel, om du får en skadlig länk eller fil via en messenger och du öppnar länken eller filen, kan dropparen placera rootkiten på din enhet. |
Hackad programvara och appar: |
Rootkits kan "smugglas" till tillförlitliga program eller appar av hackare. Filerna distribueras på internet som exempelvis gratiserbjudanden. Så snart du installerar dessa program kommer du också att ladda ner rootkiten till din dator. |
PDF- eller Office -filer: | Rootkits kan gömma sig i Office -filer eller PDF -filer, antingen som e -postbilagor eller som nedladdning. Så snart du öppnar filen sätter dropparen in filen i din dator och lastaren börjar installera i bakgrunden. |
Hur känner jag igen en rootkit på min dator (rootkit -skanner)?
För att på ett tillförlitligt sätt kunna upptäcka rootkits och sedan ta bort dem krävs en rootkit-skanner, som ingår i virussökningen av kraftfulla antivirusprogram. Till exempel kan dessa genomsökningar känna igen vanliga rootkit -signaturer. Med dessa signaturer är siffrorna i koden ordnade i en viss form. Men det finns också några tecken på din dator som kan indikera en möjlig infektion med en rootkit.
- Ovanligt beteende hos din dator: Rootkits kännetecknas av sin oansenlighet. Det kan dock hända att din dator beter sig annorlunda än vanligt, till exempel att oavsiktligt öppna program eller starta processer som du inte startade.
- Dina systeminställningar ändras utan någon åtgärd från din sida: Om du till exempel får reda på att din dator generellt tillåter fjärråtkomst eller öppnar portar, kan en rootkit vara orsaken.
- Analys av minnesdumpen: När en dator kraschar skapar Windows en systemminnesbild. Experter kan använda den här filen för att identifiera ovanliga mönster som en rootkit skapar.
- Din internetuppkoppling är alltid instabil: Rootkits kan till exempel säkerställa stora dataflöden genom vilka hackare kan komma åt data. Dessa datarörelser kan göra din internetlinje väldigt långsam eller till och med få den att krascha.
Hur kan jag skydda mig från en rootkit?
Det viktigaste skyddet mot rootkits är användningen av ett uppdaterat virusskyddsprogram. Utrustad med de senaste virusdefinitionerna kan skydd i realtid varna dig för farliga nedladdningar och installationer och använda en virusscanner för att regelbundet kontrollera din dator efter rootkits.
Dessutom rekommenderas följande åtgärder:
- Använd bara ett användarkonto i vardagen och inte administratörsåtkomst: Om du loggar in på Windows eller iOS med ett gästkonto har du bara begränsade rättigheter. Om du infekterar din dator med en rootkit under denna period kan dropparen bara komma åt denna användarnivå och t.ex. inte komma åt kärnan direkt.
- Uppdatera ditt operativsystem och din programvara regelbundet: Tillverkare stänger kända säkerhetsluckor med regelbundna uppdateringar. Det är därför absolut nödvändigt att du utför alla nödvändiga uppdateringar.
- Ladda ner filer från Internet endast från välrenommerade webbplatser: Undvik potentiellt farliga nedladdningar, minimera risken för att bli offer för en rootkit.
- Öppna bara e-postbilagor från avsändare du litar på: Om du får e-post från avsändare med kryptiska e-postadresser är det bäst att ta bort dem. Om en e-postbilaga från en bekant adress låter konstig för dig är det bättre att kontakta avsändaren igen innan du öppnar e-postbilagan.
- Installera endast smartphone -appar från de officiella appbutikerna: Om du får appar från officiella källor går de redan igenom en säkerhetskontroll. Detta minskar risken för att ladda en rootkit på din smartphone.
Ta bort rootkit - hur du går tillväga
Du bör alltid ta bort rootkits med speciell antivirusprogram. Eftersom den här skadliga programvaran kan ligga djupt i datorns operativsystem är manuell borttagning vanligtvis mycket svår. Om du glömmer bort små rester av rootkiten när du tar bort den, kommer den vanligtvis att installera om sig själv när du startar om.
Det bästa sättet att ta bort rootkits är att använda ett uppdaterat antivirusprogram som har de senaste virusdefinitionerna. En virussökning i säkert läge rekommenderas sedan så att rootkiten till exempel inte kan ladda om data från Internet. Det är ofta nödvändigt att köra virus- eller malware -skanning flera gånger för att helt eliminera en rootkit.
Denna artikel ger dig detaljerade instruktioner om hur du hittar och tar bort rootkits.
Kända rootkits
Rootkits är mycket gamla internethot. En av de första kända rootkitsna är skadlig kod som huvudsakligen attackerade Unix -operativsystem 1990. Den första kända rootkiten för Windows -datorer var NTR rootkit, som var i omlopp 1999. Detta är en kernel rootkit.
Mellan 2003 och 2005 skedde flera stora attacker med rootkits, inklusive en attack mot mobiltelefoner som aktiverades i Vodafone Greklands nätverk. Denna rootkit blev känd som "grekiska Watergate" eftersom bland annat den grekiska premiärministern påverkades.
2008 rasade TDL-1-startpaketet. Cyberkriminella använde den för att bygga ett stort botnät med hjälp av en trojansk häst.
En rootkit upptäcktes första gången 2009 som också infekterar Apples operativsystem. Det döptes "Machiavelli".
År 2010 rasade Stuxnet -masken. Bland annat använde han en rootkit som skulle spionera ut det iranska kärnkraftsprogrammet. De israeliska och amerikansk-amerikanska hemliga tjänsterna misstänks vara utvecklare och angripare.
Med LoJax upptäcktes en rootkit 2022-2023 som infekterar firmware på moderkortet för en dator för första gången. Detta gör att skadlig programvara kan återaktivera sig själv när operativsystemet installeras om.
Slutsats: Svår att upptäcka, men med uppdaterad antivirusprogramvara och försiktighet kan risken minskas
Eftersom rootkits är djupt inbyggda i en dators operativsystem är förebyggande åtgärder särskilt viktiga. När en rootkit har installerats är det svårt för lekmän att upptäcka en infektion. Men alla som är försiktiga på Internet med ett uppdaterat virusskyddssystem och lämpliga verktyg och som inte öppnar okända filer slarvigt minskar sannolikheten för att falla offer för en rootkit.