Какво представляват Rootkits

Какво представляват Rootkits

От къде идват RootKits?

Терминът RootKits идва още от ранните дни когато ОС Юникс беше най-масовата ОС. Първите форми на RootKits по ОС Юникс, Основното им предназначение е било да се повишат незабележимо правата на потребителя до ниво Root = administrator. От там идва името на този вид инструменти.

Как работят RootKits

Rootkits за Windows работят по малко различен начин,  и освен че повишават привилегиите, те така също прикриват някакъв код най-често зловреден от потребителя и/или съответната защитна програма. Rootkits Сами по себе си не са опасни и зловредни, но се използването им за прикриване на вируси, червеи, троянски коне и шпиони, значително затруднява тяхното откриване, точно идентифициране и отстраняване, като аналогия мога да дам първите Full Stealth за МС-ДОС.

колко опасен може да е един rootkit?

Rootkits Не представляват голяма опасност и не причиняват вреди. Като потенциална опасност може да се счита това че повишава привилегиите до администраторско ниво, инак прикриват програма/процес от потребителя и другите програми. Лошото е че Rootkits се използват за да прикрият вирус/червей/троянски кон/шпионин на системата и да повишат правата с които работи до администратор. Ако има вирус/червей/троянски кон/шпионин прикрит от Rootkit и с повишени привилегии, може да работи много дълго време незабелязан от потребителя или защитната програма, дори да е най-съвършената и най-добре направената и най-обновената,  и програмата не реагира на опасността, защото  тя не вижда белези които да я накарат да обърне внимание, и не е вина на защитната програма. Това създава сериозен потенциал за опасност и щети които rootkits могат непряко да нанесат на вашата система.

Колко често срещан е проблема?

Има няколко известни вируса, и шпиони както и комерсиални заглавия като mrs & mr Smith DVD, игрите Theft и Half Life 2 и заглавие на Sony-BGM които използват rootkits, разчитайки че ще остане скрито от защитните програми. Rootkits Все по-масово се използват за да се прикриват Шпиони в комерсиални заглавия, и все още не толкова масово за прикриване на вируси, троянски коне и червеи. Има ясни доказателства за това че RootKit технологията работи безупречно, и все още не е така масово разпространена, но истинската опасност все още е нищожна, но потенциалът им за по-нататъшно развитие, и злоупотреба е огромен.

кои зловредни програми използват rootkit за да се прикриват?

Rookits от семействата на Hacker Defender и FU, се използват от шпионски програми от семействата на EliteToolbar, ProAgent, and Probot SE, както и от троянски коне  от семействата на Berbew, Padodor, Feutel, Hupigon, и червеи от семействата на  Myfip.h и Maslan-family.

Нали Антивирусната програма трябва да засече RootKit в момента на стартиране, преди да се скрие?

Да, и в някои случаи ще го засече, обаче Rootkits се разпространяват под формата на source code и всеки може да модифицира съответният rootkit така че антивирусната програма да не го засича. Реално много автори на Rootkits и шпиони/Троянски коне продават "Неуловими Rootkits" на своите "Клиенти". Това значи че за определена сума пари се гарантира че въпросният rootkit който продават е неуловим за антивирусните програми в този етап на развитие. В новите антивирусни програми, част от техните възможности, позволяват на антивируса да засича някои Rootkits. Програми които включват програми, анализ и контрол на поведението, което позволява да се контролира достъпа на един процес до останалите процеси. Това би довело до предотвратяване на скриването на някои Rootkits. Като допълнителна защита, се препоръчва комбинация от процесор който на хардуерно ниво поддържа функцията DEP - Data Execution Prevention, и операционна система, която също поддържа тази защитна функция. Тази комбинация ще повиши осезаемо защитата срещу Rootkits на вашият компютър.

Прогнози за развитето на RootKits

Rootkits вече масово се използват от шпионските програми,  и все по-често използвани от авторите на вируси/червеи/троянски коне. В днешно време авторите на всируси са все по-добре подготвени, все по опитни и все по-мотивирани, да създават по-съвършени вируси, и да ги прикриват с все по-съвършени Rootkits като метод за задкулисно "регулиране на бизнеса" и като методи за индустриален шпионаж. Свойството на Rootkits да не се засичат и да приповдигат привилегии до ниво администратор, откриват сериозна опасност от отваряне на задни врати, и пускане на троянски коне и други зловредни кодове с цел не оторизиран достъп до данни, индустриален шпионаж или "зомбиране" на компютъра като спам разпращателна станция.