Artikler på Gratisprogrammer.net

Rootkit

Hva er en rootkit?

Rootkits blir vanligvis sett på som en samling verktøy som brukes av crackere til å skjule sin destruktive kode og programvare i et datasystem, men det har dukket opp spørsmål om at all programvare som bruker slik "skjuleteknologi" skal bli definert som rootkits.  

Et "rootkit" er et sett med programvareverktøy som er beregnet på å gjøre det lettere for hackere å komme tilbake til et system når de først har fått tilgang til det og, i tillegg, samle inn konfidensiell informasjon fra den kompromitterte datamaskinen.Nå er det imidlertid Windows-brukerne som må vente seg besøk. Operativsystemet er nemlig det seneste populære offeret og, fremfor alt, det mest lønnsomme. Virusforfattere og andre hackere er nå på utkikk etter økonomisk gevinst, og mange ubeskyttede eller dårlige beskyttede PCer representerer en nesten uuttømmelig reserve med mellomstasjoner (som de leier) for utsendelse av spam eller for å utføre tjenestenektangrep.

Meget diskrete små programmer

For å kompromittere PCer og, beholde kontrollen over dem, brukte forfatterne av parasittprogrammer for Windows først trojanske hester: dvs enkle "tradisjonelle" programmer beregnet på å gi forfatteren fjernkontroll over infiserte datamaskiner når det utløses av uforsiktige brukere. Imidlertid hadde ikke antivirusprogrammer problemer med å oppdage dem og forfatterne var nødt til å finne en annen metode. Og slik oppsto Windows-rootkit: disse programmene er små – ofte mindre enn 10 KB – og kan lett innføres av virus eller trojanere. Rootkits reproduserer ikke og reiser ikke alene: de er ganske enkelt verktøy som viruser, ormer og spionprogrammer bærer med seg for å hjelpe dem til å holde seg skjult.

Rootkits bruker en spesiell teknikk til å oppnå målet: de plasserer seg selv mellom "hjertet" i Windows (kjernen) og resten av programmene. Dette gjør at når et tradisjonelt program prøver å lese innholdet i minnet, liste opp programmene som kjører eller utforske innholdet på harddisken – for eksempel for å forsikre seg om at det ikke finnes noe ondsinnet programvare – kan rootkit-programmet snappe opp forespørslene og sende tilbake hva det måtte ønske. Generelt er dette en idealisert versjon av systemet der "alt er greit, det finnes ingen ondsinnet kode, brukeren kan fortsette å surfe bekymringsløst på nettet...", mens i realiteten, uten at de vet om det, fortsetter deres PCer å sende tusenvis av spammeldinger eller infisert e-post hver dag.

Nylig ble det oppdaget at parasitter, som visse versjoner av virusene MyFip.h og Sober.p eller botprogramvare (Rbot), omfattet et forhåndslaget Windows-rootkit (for eksempel FU rootkit som har åpen kildekode) eller tilsvarende teknikker, for å holde seg skjult. I henhold til Microsoft er rootkit-programmene FU og Ispro nå de viktigste ondsinnede kodene som finnes på PCer som kjører Windows XP.
For å beskytte seg mot rootkits må man alltid ha en velfungerende sikkerhetspakke som fjerner både virus, ormer, trojanere og spionprogrammer. Når datamaskinen er beskyttet mot disse elementene er risikoen for å få rootkits infisering liten, siden rootkits er avhengig av "medhjelpere".

Programmer som beskytter datamaskinen:

Kilder: symantec, internett og administrator Gratisprogrammer.net