
Jeśli masz wrażenie, że Twój komputer zaczął pracować zbyt wolno, a w menadżerze zadań pojawiła się podejrzana aplikacja, której nie widziałeś wcześniej, istnieje duże prawdopodobieństwo, że Twój system złapał wirusa typu rootkit. To złośliwe oprogramowanie nie tylko wyrządza duże szkody Twojemu sprzętowi, ale także jest trudne w znalezieniu i usunięciu. Czym są rootkity, jak działają i w jaki sposób można się przed nimi uchronić?
Rootkit to specjalny program komputerowy, który ułatwia hakerowi uzyskanie zdalnego dostępu i kontroli nad sprzętem. Termin ten jest połączeniem dwóch słów: „root” oraz „kit”, ponieważ początkowo rootkit stanowił zbiór narzędzi umożliwiających dostęp do komputera lub sieci na poziomie administratora. Root związany był z kontem administratora w systemie Unix i Linux, natomiast kit odnosił się do składników oprogramowania implementującego dane narzędzie. Dziś jednak rootkity kojarzone są przede wszystkim ze złośliwym oprogramowaniem, takim jak trojany, robaki czy też wirusy, które działają w ukryciu.
W jaki sposób rootkit może zaszkodzić? To oprogramowanie pozwala na całkowite przejęcie kontroli nad komputerem bez wiedzy użytkownika. Po jego zainstalowaniu na urządzeniu kontroler jest w stanie zdalnie uruchamiać pliki i zmieniać konfigurację systemu, a także uzyskuje dostęp do dziennika zdarzeń i szpieguje działania użytkownika. Jeśli sięgniemy pamięcią wstecz, możemy jednak przypomnieć wiele sytuacji, w których szkody wyrządzone przez rootkity miały znacznie większy zasięg. Przykładem jest Stuxnet, czyli rootkit wycelowany w irański przemysł nuklearny, który zainfekował około 200 000 komputerów i uszkodził 1 000 maszyn w irańskich zakładach wzbogacania uranu.
Wśród najpopularniejszych typów rootkitów wymienia się:
Nie da się ukryć, że zidentyfikowanie rootkitów jest bardzo trudne. Obecnie wciąż nie istnieje żaden komercyjny produkt, który byłby w stanie znaleźć i usunąć wszystkie znane oraz ukryte rootkity. Jeżeli chodzi o wykrycie złośliwego urządzenia, to specjaliści stosują najczęściej metody behawioralne (np. szukanie dziwnego zachowania w systemie), skanowanie sygnatur czy też analizę zrzutu pamięci. W wielu przypadkach jedyną metodą usunięcia rootkita jest ponowna instalacja systemu operacyjnego, która usuwa złośliwe oprogramowanie. Takie rozwiązanie sprawdza się m.in. w przypadku rootkitów bootloadera.
Ze względu na fakt, że rootkity mogą wyrządzić duże szkody na naszym komputerze i są przy tym trudne do wykrycia, zaleca się zachowanie dużej ostrożności podczas korzystania z Internetu oraz pobierania plików. Chociaż nie ma jednego skutecznego sposobu ochrony przed wszystkimi rootkitami, to istnieje kilka sposobów na zmniejszenie ryzyka pojawienia się tego typu ataków, takich jak m.in.:
Przed rootkitami pośrednio chronią także nasze rozwiązania – weryfikacja behawioralna, Device Fingerprinting czy PureSecure. Chociaż nie jest to ich główny cel, ponieważ działanie naszych narzędzi jest dużo bardziej zaawansowane i ma chronić całą aktywność użytkownika w sieci, to jednak także zmniejszają one ryzyko zainfekowania urządzenia bądź znacząco ograniczają możliwości rootkitów. Jeśli jesteś zainteresowany naszymi rozwiązaniami, przeczytaj więcej o weryfikacji behawioralnej, Device Fingerprinting i PureSecure!
Digital Fingerprints S.A. ul. Gliwicka 2, 40-079 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 4 528 828,76 zł – opłacony w całości, NIP: 525-260-93-29
Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.
Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.