Kas ir Rootkit un kā tas inficē jūsu datoru
Miscellanea / / December 02, 2021
Visi zina par datorvīrusi – un cilvēki pamatoti no viņiem baidās. Daudzi ir dzirdējuši arī par (datoru) tārpiem, kas ir nepatīkamas programmas, kas izstrādātas, lai izplatītos pēc iespējas vairāk, lai inficētu datorus.
No otras puses, rootkit ir viltīgs citādā veidā. Šis nevēlamais kods jūsu darbvirsmā tiek izmantots, lai iegūtu kontroli pār jūsu darbvirsmu, slēpjoties dziļi jūsu sistēmā. Atšķirībā no vairuma vīrusu, tas nav tieši destruktīvs, un atšķirībā no tārpiem tā mērķis nav izplatīt infekciju pēc iespējas plašāk.
Tātad, ko dara Rookit?
Tas nodrošina piekļuvi visām jūsu mapēm — gan privātajiem datiem, gan sistēmas failiem — attālam lietotājam, kurš, izmantojot administratīvās pilnvaras, ar jūsu datoru var darīt visu, ko vēlas. Lieki piebilst, ka katram lietotājam ir jāapzinās viņu radītie draudi.
Sakņu komplekti parasti ir daudz dziļāki nekā vidējais vīruss. Tie var pat inficēt jūsu BIOS — to datora daļu, kas ir neatkarīga no operētājsistēmas, padarot tos grūtāk noņemt. Un tie var pat nebūt Windows specifiski, var tikt ietekmētas pat Linux vai Apple mašīnas. Faktiski pirmais rootkit, kas jebkad tika uzrakstīts, bija paredzēts Unix!
Attēla autors Fristle
Vai tā ir jauna parādība?
Nē, nepavisam. Agrākais zināmais sakņu komplekts faktiski ir divus gadu desmitus vecs. Tomēr tagad, kad katrā mājā un katrā darba galdā ir dators, kas ir savienots ar internetu, iespējas izmantot pilnu rootkit potenciālu vēl tikai tiek realizētas.
Iespējams, līdz šim slavenākais gadījums bija 2005. gadā, kad Sony BMG pārdotajos kompaktdiskos bez lietotāja atļaujas tika instalēti rootkit, kas ļāva jebkuram lietotājam, kurš bija pieteicies datorā, piekļūt administratora režīmam. Šīs saknes komplekta mērķis bija nodrošināt aizsardzību pret kopēšanu (sauktuDigitālo tiesību pārvaldība” vai DRM) kompaktdiskos, taču tas apdraudēja datoru, kurā tas bija instalēts. Šo procesu var viegli uzlauzt ļaunprātīgos nolūkos.
Ar ko tas atšķiras no vīrusa?
Visbiežāk rootkitus izmanto, lai kontrolētu, nevis iznīcinātu. Protams, šo vadīklu var izmantot datu failu dzēšanai, taču to var izmantot arī ļaunākiem mērķiem.
Vēl svarīgāk ir tas, ka sakņu komplekti darbojas tādos pašos privilēģiju līmeņos kā lielākā daļa pretvīrusu programmu. Tas padara tos daudz grūtāk noņemt, jo dators nevar izlemt, kurai programmai ir lielākas tiesības izslēgt otru.
Tātad, kā es varu inficēties ar rootkit?
Kā minēts iepriekš, sakņu komplekts var tikt izmantots kopā ar programmatūru, kurai, jūsuprāt, uzticaties. Ja piešķirat šai programmatūrai atļauju instalēt datorā, tā arī ievieto procesu, kas fonā klusi gaida komandu. Un tā kā atļaujas piešķiršanai ir nepieciešama administratīvā piekļuve, tas nozīmē, ka jūsu rootkit jau atrodas sensitīvā datora atrašanās vietā.
Vēl viens veids, kā inficēties, ir standarta vīrusu infekcijas paņēmieni — izmantojot koplietotus diskus un diskus ar inficētu tīmekļa saturu. Šo infekciju var nebūt viegli pamanīt sakņu komplektu klusuma dēļ.
Ir bijuši arī gadījumi, kad iegādātajos datoros tika instalēti rootkit. Šādas programmatūras nolūki var būt labi – piemēram, pretaizdzīšanas identifikācija vai attālināta diagnostika – taču ir pierādīts, ka šāda ceļa klātbūtne pati par sevi ir ievainojamība.
Tātad, tas bija par to, kas īsti ir rootkit un kā tas iekļūst datorā. Savā nākamajā rakstā es apspriedīšu kā aizsargāt datoru no rootkit — no aizsardzības līdz tīrīšanai.
Sekojiet līdzi!