Zistite rootkit a chráňte sa pred ním
Väčšinu škodlivého softvéru, ktorý používajú zločinci na celom svete, ich obete neodhalia. Je to tiež kvôli malvéru, ako je rootkit. Zrozumiteľne vám ukážeme, čo je rootkit, aké typy existujú a ako pred nimi môžete chrániť počítač správnymi nástrojmi.
Čo je to rootkit?
Rootkit je malware, ktorý je skrytý veľmi hlboko v operačnom systéme. Vďaka svojmu programovaniu je preto možné rootkity zvyčajne detegovať a odstrániť iba pomocou príslušného antivírusového softvéru.
Ústrednou funkciou rootkitov je umožniť tretím stranám prístup k cudziemu počítaču. Môžete ho ovládať na diaľku, manipulovať s ním alebo kradnúť údaje. Útoky rootkit slúžia napríklad aj na inštaláciu softvéru, pomocou ktorého môžu útočníci diaľkovo ovládať botnet.
Rootkit sa zvyčajne skladá zo zväzku škodlivého softvéru. Rootkit môže obsahovať keyloggery, roboty alebo ransomware.
Info: Odkiaľ pochádza názov "rootkit"?
Termín „rootkit“ pozostáva zo slov „root“ (nemčina = root = najvyšší adresár v systéme súborov; používateľ so všetkými právami správcu) a „kit“ (nemčina = sada). Rootkit je úplne neutrálna zbierka softvérových aplikácií, ktoré môžu používať práva správcu. Keď sa však tieto práva použijú na opätovné načítanie škodlivého softvéru, samotný rootkit sa stane malvérom.
Rootkit: Existujú tieto typy
Rootkity sú zvyčajne klasifikované podľa hĺbky, v akej pôsobia v súborovom systéme príslušného počítača.
Rootkity používateľského režimu |
Tieto rootkity ovplyvňujú hlavne účet správcu vo vašom počítači. Malvér má všetky výhody správcovského prístupu k súborom alebo programom a môže napríklad meniť nastavenia zabezpečenia. Zložitá vec na týchto rootkitoch: Automaticky sa spustia pri každom reštarte počítača. |
Rootkity modelu jadra |
Tieto rootkity fungujú priamo na úrovni operačného systému a majú tak možnosť manipulácie so všetkými oblasťami operačného systému. Aj skenovanie vírusových skenerov môže priniesť nesprávne výsledky, ak je infikovaný rookitom režimu jadra. Rootkity jadra však musia prekonať mnoho prekážok, než sa môžu v jadre zaseknúť. Obvykle si ich všimneme vopred, napríklad preto, že počítač stále havaruje. |
Firmware rootkity |
Tieto rootkity môžu implantovať firmvér počítačových systémov. Po odstránení sa automaticky preinštalujú pri každom reštarte. Vďaka tomu sú rootkity firmvéru obzvlášť trvalé a je ťažké ich odstrániť. |
Topánky |
Tieto rootkity uviazli v zavádzacom sektore. Keď spustíte počítač, systém použije hlavný zavádzací záznam. Nájdete tam aj štartovaciu sadu, ktorá sa načíta pri každom štarte. Dôležitú ochranu majú používatelia novších operačných systémov Windows, ako napríklad 8 alebo 10. Tieto verzie už majú zabezpečovacie systémy, ktoré zabraňujú spusteniu bootovacích súprav pri zapnutí počítača. |
Virtuálne rootkity |
Tieto rootkity sa inštalujú na virtuálny počítač a môžu mať prístup k infikovanému počítaču mimo skutočného operačného systému. To sťažuje detekciu softvéru na ochranu pred vírusmi. |
Hybridné rootkity | Tieto rootkity rozdelili softvér a nainštalovali jeho časti do jadra a ďalšie časti na užívateľskej úrovni. Tieto rootkity sú výhodné pre zločincov, pretože bežia veľmi stabilne na užívateľskej úrovni a zároveň pôsobia v jadre, teda kamuflované. |
Aby sa antivírusové skenery chránili pred týmito zákernými hrozbami, musia mať okrem iného aktuálne definície vírusov.
Ako sa rootkit dostane do počítača?
Rootkity vždy potrebujú „vozidlo“, s ktorým sa môžu implantovať do počítača. Rootkit je spravidla vždy zložený z troch komponentov, samotného rootkitu, kvapkadla a nakladača. Kapátko je porovnateľné s počítačovým vírusom, ktorý nakazí váš počítač. Pretože kvapkadlo hľadá bezpečnostný otvor, aby uložilo rootkit na požadované zariadenie. Potom sa použije nakladač. Nainštaluje rootkit na infikovaný počítač, napríklad do jadra alebo na používateľskú úroveň, ak ide o rootkit v používateľskom režime.
Rootkity používajú na upustenie nasledujúce médiá:
Messenger |
Ak napríklad prostredníctvom programu Messenger dostanete škodlivý odkaz alebo súbor a odkaz alebo súbor otvoríte, kvapkadlo môže umiestniť rootkit do vášho zariadenia. |
Hacknutý softvér a aplikácie: |
Hackeri môžu rootkity „prepašovať“ do dôveryhodného softvéru alebo aplikácií. Súbory sú napríklad distribuované na internete ako bezplatné ponuky. Hneď ako nainštalujete tieto programy, stiahnete si tiež rootkit do počítača. |
Súbory PDF alebo Office: | Rootkity sa môžu skrývať v súboroch Office alebo PDF, či už ako príloha k pošte alebo na stiahnutie. Hneď ako otvoríte súbor, kvapkadlo vloží súbor do vášho počítača a zavádzač začne s inštaláciou na pozadí. |
Ako rozoznám rootkit na svojom počítači (skener rootkit)?
Aby bolo možné spoľahlivo rozpoznať rootkity a potom ich odstrániť, je potrebný skener rootkitov, ktorý je súčasťou antivírusovej kontroly výkonných antivírusových programov. Tieto kontroly môžu napríklad rozpoznať bežné podpisy rootkitov. S týmito podpismi sú čísla v kóde usporiadané v určitej forme. Ale na vašom počítači sú aj niektoré znaky, ktoré môžu naznačovať možnú infekciu rootkitom.
- Neobvyklé správanie vášho počítača: Rootkity sa vyznačujú svojou nenápadnosťou. Môže sa však stať, že sa váš počítač bude správať inak ako obvykle, napríklad neúmyselne otvorí programy alebo spustí procesy, ktoré ste nespustili.
- Vaše systémové nastavenia sa zmenia bez akejkoľvek akcie z vašej strany: Ak napríklad zistíte, že váš počítač vo všeobecnosti umožňuje vzdialený prístup alebo otvára porty, príčinou môže byť rootkit.
- Analýza výpisu pamäte: Keď počítač zlyhá, systém Windows vytvorí obraz systémovej pamäte. Odborníci môžu tento súbor použiť na identifikáciu neobvyklých vzorov, ktoré vytvára rootkit.
- Vaše internetové pripojenie je vždy nestabilné: Rootkity môžu napríklad zaistiť veľké toky dát, cez ktoré sa hackeri môžu dostať k údajom. Tieto pohyby údajov môžu vašu internetovú linku veľmi spomaliť alebo dokonca spôsobiť jej zrútenie.
Ako sa môžem chrániť pred rootkitom?
Najdôležitejšou ochranou pred rootkitmi je používanie moderného programu na ochranu pred vírusmi. Vybavená najnovšími definíciami vírusov, ochrana v reálnom čase vás môže varovať pred nebezpečným sťahovaním a inštaláciou a pomocou antivírusového programu pravidelne kontrolovať počítač, či neobsahuje rootkity.
Okrem toho sa odporúčajú nasledujúce opatrenia:
- V každodennom živote používajte iba jeden používateľský účet a nie prístup správcu: Ak sa prihlásite do systému Windows alebo iOS pomocou účtu hosťa, máte iba obmedzené práva. Ak v tomto období nakazíte počítač rootkitom, kvapkadlo má prístup iba k tejto používateľskej úrovni, a napríklad nemá priamy prístup k jadru.
- Pravidelne aktualizujte svoj operačný systém a softvér: Výrobcovia pravidelnými aktualizáciami odstraňujú známe medzery v zabezpečení. Preto je nevyhnutné, aby ste vykonali všetky potrebné aktualizácie.
- Sťahujte súbory z internetu iba z renomovaných webových stránok: Vyhnite sa potenciálne nebezpečnému sťahovaniu, minimalizujte riziko, že sa stanete obeťou rootkitu.
- Otvárajte iba prílohy e-mailov od dôveryhodných odosielateľov: Ak dostávate e-maily od odosielateľov s kryptickými e-mailovými adresami, je najlepšie ich odstrániť. Ak vám príloha e-mailu zo známej adresy pripadá čudná, pred otvorením prílohy e-mailu je lepšie sa znova informovať u odosielateľa.
- Inštalujte aplikácie pre smartfóny iba z oficiálnych obchodov s aplikáciami: Ak získate aplikácie z oficiálnych zdrojov, už prechádzajú bezpečnostnou kontrolou. Zníži sa tým riziko načítania rootkitu do vášho smartfónu.
Odstrániť rootkit - ako postupovať
Vždy by ste mali odstrániť rootkity pomocou špeciálneho antivírusového softvéru. Pretože sa tento malware môže nachádzať hlboko v operačnom systéme vášho počítača, ručné odstránenie je zvyčajne veľmi ťažké. Ak pri odstraňovaní zabudnete malé zvyšky rootkitu, zvyčajne sa po reštarte sám preinštaluje.
Najlepším spôsobom, ako odstrániť rootkity, je použiť aktuálny antivírusový program, ktorý obsahuje najaktuálnejšie definície vírusov. Potom sa odporúča skenovanie vírusov v núdzovom režime, aby rootkit napríklad nemohol načítať údaje z internetu. Na úplné odstránenie rootkitu je často potrebné niekoľkokrát spustiť skenovanie vírusov alebo škodlivého softvéru.
Tento článok vám poskytne podrobné informácie o tom, ako nájsť a odstrániť rootkity.
Známe rootkity
Rootkity sú veľmi staré internetové hrozby. Jeden z prvých známych rootkitov je malware, ktorý v roku 1990 útočil hlavne na operačné systémy Unix. Prvým známym rootkitom pre počítače so systémom Windows bol rootkit NTR, ktorý bol v obehu v roku 1999. Toto je rootkit jadra.
V rokoch 2003 až 2005 došlo k rôznym veľkým útokom s rootkitmi, vrátane útoku na mobilné telefóny, ktoré boli aktivované v sieti Vodafone Greece. Tento rootkit sa stal známym ako „grécka Watergate“, pretože okrem iného bol dotknutý grécky premiér.
V roku 2008 zúrila bootovacia súprava TDL-1. Kybernetickí zločinci ho použili na vybudovanie veľkého botnetu pomocou trójskeho koňa.
V roku 2009 bol prvýkrát objavený rootkit, ktorý infikuje aj operačné systémy Apple. Bol pokrstený „Machiavelli“.
V roku 2010 zúril červ Stuxnet. Okrem iného použil rootkit, ktorý mal špehovať iránsky jadrový program. Izraelské a americko-americké tajné služby sú podozrivé z toho, že sú vývojári a útočníci.
S LoJaxom bol v rokoch 2022-2023 objavený rootkit, ktorý po prvýkrát nakazí firmvér na základnej doske počítača. To umožňuje malwaru, aby sa sám znova aktivoval po preinštalovaní operačného systému.
Záver: Je ťažké zistiť, ale pomocou aktualizovaného antivírusového softvéru a opatrnosti je možné riziko znížiť.
Pretože rootkity sú hlboko zakorenené v operačnom systéme počítača, je prevencia obzvlášť dôležitá. Keď je rootkit nainštalovaný, pre laikov je ťažké odhaliť infekciu. Každý, kto je na internete opatrný a používa moderný antivírusový systém a vhodné nástroje a ktorý neopatrne neotvára neznáme súbory, znižuje pravdepodobnosť, že sa stane obeťou rootkitu.