Microsoft Malware Protection Center hotrapport om rootkits

Microsoft Malware Protection Center har gjort det möjligt att ladda ner sin hotrapport om rootkits. Rapporten granskar en av de mer smutsiga typerna av malware hotande organisationer och individer idag - rootkit. Rapporten undersöker hur angripare använder rootkits, och hur rootkits fungerar på berörda datorer. Här är en del av rapporten som börjar med vad som är Rootkits - för nybörjaren.

Rootkit är en uppsättning verktyg som en angripare eller en malware skapare använder för att få kontroll över alla utsatta / osäkrade system som annars är normalt reserverad för en systemadministratör. Under senare år har termen "ROOTKIT" eller "ROOTKIT FUNCTIONALITY" ersatts av MALWARE - ett program som är utformat för att få biverkningar på en sund dator. Malware huvudfunktion är att hämta värdefull data och andra resurser från en användares dator i hemlighet och ge den till attacken, vilket ger honom fullständig kontroll över den kompromissade datorn. Dessutom är de svåra att upptäcka och avlägsna och kan förbli dolda i längre perioder, eventuellt år, om de är obemärkta. Således måste symtomen på en kompromitterad dator maskeras och tas i beaktande innan resultatet blir dödligt. Särskilt bör strängare säkerhetsåtgärder vidtas för att avslöja attacken. Men, som sagt, när dessa rootkits / malware installerats, gör det med sina smygmöjliga egenskaper svårt att ta bort det och dess komponenter som det kan hämta. Därför har Microsoft skapat en rapport om ROOTKITS.

Hotrapport för hotmailen i Microsoft Malware Protection Center

I 16-sidsrapporten beskrivs hur en angripare använder rootkits och hur dessa rootkits fungerar på berörda datorer. Syftet med rapporten är att identifiera och noggrant undersöka potent malware som hotar många organisationer, särskilt datoranvändare. Det nämner också några av de vanligaste malwarefamiljerna och sätter in i ljuset metoden som attackerna använder för att installera dessa rootkits för sina egna själviska syften på hälsosamma system. I resten av rapporten hittar du experter som gör några rekommendationer för att hjälpa användare att mildra hotet från rootkits.

Typer av rootkits

Det finns många ställen där en skadlig kod kan installera sig i ett operativsystem. Så, för det mesta bestäms typen av rootkit av dess plats där den utför sin subversion av exekveringsvägen. Detta inkluderar:

Rootkits för användarläge

Rootkits för kärnläge

1. MBR Rootkits / bootkits
2. Den möjliga effekten av en rootkit-kompromiss för kärnläge illustreras via ett skärmskott nedan.
3. Den tredje typen, ändra Master Boot Record för att få kontroll över systemet och starta processen för att ladda den tidigaste möjliga punkten i boot-sekvensen3. Det skyller filer, registerändringar, bevis på nätverksanslutningar och andra möjliga indikatorer som kan indikera dess närvaro.

Anmärkningsvärda malwarefamiljer som använder Rootkit-funktionalitet

Win32 / Sinowal

13 - En flerkomponentfamilj av malware som försöker stjäla känsliga data som användarnamn och lösenord för olika system. Detta inkluderar att försöka stjäla autentiseringsuppgifter för en mängd olika FTP-, HTTP- och e-postkonton samt referenser som används för webbbank och andra finansiella transaktioner.

Win32 / Cutwail 15 - En trojan som hämtar och exekverar godtyckligt filer. De nedladdade filerna kan utföras från disk eller injiceras direkt till andra processer. Medan funktionaliteten för de nedladdade filerna är variabel, hämtar Cutwail vanligtvis andra komponenter som skickar skräppost.

Det använder en rootkit i kärnläge och installerar flera drivrutiner för att dölja sina komponenter från berörda användare. Win32 / Rustock

- En flerkomponentfamilj av rootkit-aktiverade bakdörr-trojaner som ursprungligen utvecklats för att hjälpa till med distribution av "spam" -mail via en

botnet . En botnet är ett stort attackerstyrt nätverk av komprometterade datorer. Skydd mot rootkits Förhindra installation av rootkits är den mest effektiva metoden för att undvika infektion med rootkits. För detta är det nödvändigt att investera i skyddande tekniker som antivirus och brandväggsprodukter. Sådana produkter bör ta ett omfattande skyddssätt genom att använda traditionell signaturbaserad detektion, heuristisk detektion, dynamisk och responsiv signaturfunktion och beteendeövervakning.

Alla dessa signaturuppsättningar ska uppdateras med hjälp av en automatiserad uppdateringsmekanism. Microsoft antiviruslösningar innehåller ett antal tekniker som är utformade specifikt för att mildra rootkits, inklusive övervakning av levande kärnuppträdande som upptäcker och rapporterar om försök att modifiera ett kärnans berörd system och direkt parsing av filsystem som underlättar identifiering och borttagning av dolda drivrutiner.

Om ett system hittas komprometterat, kan ett extra verktyg som gör att du kan starta upp i en känd, bra eller pålitlig miljö, vara användbar, eftersom det kan ange några lämpliga åtgärder för åtgärd.

Under sådana omständigheter, Verktyget för fristående systemfeber (En del av Microsoft Diagnostics and Recovery Toolset (DaRT)

Windows Defender Offline kan vara användbar.

1. För mer information kan du hämta PDF-rapporten från Microsoft Download Center.