IP-osoitteesi:Tuntematon

·

Tilasi: Tuntematon
Blogi Kyberturvallisuus

Mikä on rootkit ja miten sen voi estää

Rootkit on haittaohjelma, ja erityisen ikävä sellainen. Rootkitin avulla verkkorikolliset hankkivat pääsyn uhrien laitteille ja ottavat ne hallintaansa. Sen avulla voidaan myös naamioida muita haittaohjelmia ja ujuttaa niitä uhrien laitteille. Rootkit on ikävä riesa myös siksi, että sellaisen havaitseminen ja poistaminen on vaikeaa.

Ksenija Trimailova | NordVPN

Ksenija Trimailova

27.3.2026

9 minuutin lukuaika

Mikä on rootkit ja miten sen voi estää

Rootkitin määritelmä ja merkitys

Rootkit nimenä viittaa Linux- ja Unix-käyttöjärjestelmiin. Niissä "root" tarkoittaa järjestelmän pääkäyttäjää, jolla on oikeudet muokata järjestelmää. "Kit" puolestaan tarkoittaa sovellusta, jolla hakkeri saa pääkäyttäjän oikeudet uhrin laitteeseen. Rootkit voidaan kääntää suomeksi piilohallintaohjelmaksi.

Rootkit on haittaohjelmatyyppi. Hakkerit käyttävät rootkitiä saadakseen pääsyn uhrin laitteelle sekä hallitakseen sitä. Rootkitejä on erilaisia, mutta useimmiten ne ovat erittäin hyviä kätkeytymään laitteille ja toimivat taustalla. Rootkitit iskevät usein laitteiden käyttöjärjestelmään ja ohjelmiin. Rootkitin avulla voidaan tietokoneen sijaan ottaa myös haltuun verkkoja ja IoT-laitteita eli esineiden internet -laitteita.

Kun hakkeri on saanut pääsyn uhrin laitteelle, hän voi tehdä monenlaista tihutyötä. Usein rikollisten tarkoituksena on varastaa uhrin tietoja, kuten henkilötietoja tai taloudellisia tietoja, ja käyttää niitä rikoksiin. Rootkitin avulla kaapattuja laitteita voidaan myös käyttää bottiverkoissa tai palvelunestohyökkäyksissä eli DDoS-hyökkäyksissä. Lisäksi rikolliset saattavat käyttää rootkitiä muiden haittaohjelmien asentamiseen uhrin laitteelle.

Rootkit – erilaiset tyypit

Rootkit ei ole yhden haittaohjelman nimi, vaan se on haittaohjelmatyyppi, joka jakautuu useisiin alatyyppeihin. Rootkit-tyypit vaihtelevat aina laitteisto-rootkiteistä virtuaalisiin rootkiteihin. Katso alta tärkeimmät erilaiset rootkit-tyypit.

1. Laitteisto- tai laiteohjelmisto-rootkit

Nimensä mukaisesti tällainen rootkit iskee tietokoneen kovalevylle ja sen BIOS-järjestelmään, joka on emolevylle asennettu peruslaiteohjelmisto. BIOS on lyhenne sanoista Basic Input-Output System, ja se käynnistyy ensimmäisenä, kun tietokone laitetaan päälle. Se myös mahdollistaa laitteen perusasetusten muuttamisen. Laitteisto-rootkit-ohjelmaa voidaan käyttää myös käyttäjän reitittimen saastuttamiseen, ja niiden avulla voidaan myös kaapata kovalevyille kirjoitettu dataa.

2. Bootloader-rootkit

Bootloader tarkoittaa käynnistyslataajaa, eli tietokoneen välttämätöntä ohjelmistoa, joka käynnistyy tietokoneen käynnistämisen yhteydessä. Se mahdollistaa käyttöjärjestelmän ja ohjelmistojen lataamisen. Bootloader-rootkit, josta käytetään myös nimeä bootkit, hyökkää käynnistyslataajaan ja korvaa sen hakkeroidulla lataajalla. Näin rootkit aktivoituu heti, kun tietokone käynnistetään – jopa ennen käyttöjärjestelmän käynnistymistä.

3. Muistin rootkit

Rootkit, jonka kohteena on tietokoneen muisti, kätkeytyy RAM- eli keskusmuistiin ja häiritsee sen toimintaa: resursseja käytetään haitallisiin prosesseihin. Keskusmuistin rooli tietokoneessa on mahdollistaa tietojen vastaanottaminen ja säilyttäminen. Tällaiset rootkitit eivät toimi tietokoneella pitkiä aikoja, vaan tyypillisesti häviävät kuin kone käynnistetään uudelleen. Muistin rootkit ei ole ikävin rootkit-tyyppi, mutta nekin voivat saada aikaan ikäviä haittoja.

4. Sovellustason rootkit

Tämän rootkitin kohteena ovat tietokoneen tiedostot: se korvaa ne haitallisilla rootkit-tiedostoilla. Niiden kohteina ovat tietokoneen vakio-ohjelmat, kuten esimerkiksi Word tai Paint. Kun käyttäjä tällaisessa tilanteessa avaa Wordin, hakkeri saa pääsyn tietokoneeseen. Kaiken lisäksi käyttäjä ei huomaa mitään erikoista, vaan Word toimii normaalisti, eivätkä kaikki virustorjuntaohjelmatkaan havaitse sovellustason rootkit-haittaohjelmia.

5. Ydintason rootkit-haittaohjelmat

Ydintason rootkitit ovat erittäin vaarallisia, sillä ne toimivat tietokoneen ytimessä (kernel). Ne ovat monimutkaisia haittaohjelmia, joiden kohteena ovat tietokoneiden käyttöjärjestelmät. Niiden avulla verkkorikollinen saa helpon pääsyn tietokoneelle. Hakkeri voi käyttää ydintason rootkitiä esimerkiksi tietojen varastamiseen tai käyttöjärjestelmän toiminnan muokkaamiseen sen koodin kautta.

Ydintason rootkitin kehittäminen vaatii teknistä osaamista. Jos rootkitissä on ongelmia, se ei toimi näkymättömästi taustalla, vaan se vaikuttaa suoraan saastuneen tietokoneen toimintaan. Epäonnistunut ydintason rootkit on siis helppo havaita. Onnistunut ydintason rootkit puolestaan on vaikea huomata.

Ydintason rootkitit ovat pahamaineisia, ja niiden avulla on saatu aikaan suurta vahinkoa. Katso alta esimerkkejä vaarallisista ydintason rootkiteistä.

  • NTRootkit: Yksi ensimmäisistä haitallisista rootkit-ohjelmista, jonka kohteena oli Windows-käyttöjärjestelmä. Se luotiin vuonna 1999.
  • Machiavelli: Vuonna 2009 luotiin Mac-käyttöjärjestelmään kohdistuva rootkit. Machiavelli loi piiloon jääviä ydinsäikeitä ja järjestelmiä Mac-koneilla.
  • Zeus: Tämä vuonna 2007 havaittu troijalainen virus herätti pelkoa, sillä sen avulla päästiin käsiksi käyttäjien pankkitietoihin. Zeus hyödynsi väliintulohyökkäyksiä sekä näppäinlyöntien tallennusta.
  • Stuxnet: Stuxnet havaittiin vuonna 2010. Sitä aiemmin ei oltu havaittu rootkitejä, jotka olisi luotu teollisuuden hallintajärjestelmiä ajatellen: sen tarkoituksena oli saada järjestelmien hallitsemat laitteet toimimaan väärin.
  • Flame: Windows-koneisiin iskevä Flame saattoi tallentaa ääntä, näppäinlyöntejä, verkkoliikennettä ja kuvakaappauksia. Se löydettiin vuonna 2012.
  • Necurs: Tämä rootkit oli yhden maailman suurimman bottiverkon taustalla. Sitä käytettiin suurten kiristyshyökkäysten levittämiseen – esimerkiksi Locky oli spämmihaittaohjelma ja Dridex pankkitietoja hankkiva haittaohjelma. Necurs on esimerkki rootkitistä, jota käytetään haittaohjelmien levittämiseen – se suojaa haittaohjelmia, pakottaa koneen osaksi bottiverkkoa ja varmistaa, että haittaohjelmia ei saada poistettua.
  • ZeroAccess: ZeroAccess-bottiverkon luomiseen käytetty rootkit käytti tietokoneita bitcoinien louhintaan ja syötti käyttäjille mainoksia. Tietokoneet asetettiin klikkaamaan mainoksia automaattisesti, mikä tuotti mainosklikkaustuloja rikollisille. Bottiverkossa oli jopa kaksi miljoonaa tietokonetta, mutta verkko saatiin lopulta ajettua alas. ZeroAccess on kuitenkin olemassa edelleen, ja sen erilaiset versiot jatkavat haittojen aiheuttamista.

6. Virtuaaliset rootkitit eli hypervisor-rootkitit

Nämä rootkitit toimivat kaappaamalla tietokoneen fyysisen laitteiston ja lisäämällä käyttöjärjestelmän alle toisen virtuaalisen kerroksen. Näin ne voivat valvoa ja hallita järjestelmää ja pysyä samalla piilossa. Niiden havaitseminen on erittäin haastavaa, sillä ne toimivat käyttöjärjestelmän alapuolella. Virtuaalisen rootkitin voi huomata vain erityisen ohjelmiston avulla.

Esimerkkejä tunnetuista rootkit-haittaohjelmista

Jotkut rootkitit ovat herättäneet runsaasti huomiota – ja pelkoa. Katso alta kolme esimerkkiä tunnetuista rootkiteistä.

Demodex

Demodex on ydintason rootkit, jota käytti Kiinaan liittyvä GhostEmperor-ryhmä Kasperskyn vuonna 2021 julkaisemien tietojen mukaan. Kasperskyn mukaan rootkitin avulla hankittiin pääsy yritysverkkoihin Etelä-Aasiassa, ja ryhmä pystyi toimimaan kaikessa hiljaisuudessa, sillä rootkitiä ei havaittu.

Demodex hyödyntää CheatEngineä, joka on tietokonepeleissä huijaamiseen käytetty avoimen lähdekoodin väline. Demodex kuitenkin käytti sitä saastutettujen laitteiden muistin muokkaamiseen. CheatEnginen avulla Demodex-koodi saatiin syötettyä järjestelmän ytimeen, johon rootkit sitten asennettiin. Demodex luotiin vakoilukäyttöön.

FudModule

FudModule on myös ydintason rootkit, ja sen käytöstä tunnetaan pohjoiskorealainen Lazarus-ryhmä. FudModulen avulla tietokoneen turvallisuusvalvonta saadaan pois päältä, ja siinä hyödynnettiin sisäänrakennetun Windows-ajurin nollapäivähaavoittuvuutta. Tätä haavoittuvuutta hyödyntämällä FudModule asensi itsensä suoraan ydintasolle, mikä tarjosi sille suoran pääsyn koko altistuneeseen järjestelmään. FudModulea on käytetty vakoiluun ja tietojen varastamiseen.

Glubteba

Glubteba on puolestaan bottiverkko, joka käyttää mutkikasta bootloader-rootkitiä saadakseen pysyvän pääsyn saastuneisiin järjestelmiin. Bootloader-rootkitin ansiosta Gluteba voi hallita käyttöjärjestelmän käynnistyslataajaa ja puuttua sen toimintaan.

Glutebassa käytetään muokattua versiota avoimen lähdekoodin EfiGuard-projektista, jonka avulla se voi poistaa käytöstä Windowsin turvallisuusominaisuuksia (esimerkiksi PatchGuard ja Driver Signature Enforcement eli DSE) käynnistyslataajan toiminnan aikana. Kun turvallisuusominaisuudet on kytketty pois päältä, rootkit voi ladata ja suorittaa haitallisia toimintojaan ennen kuin järjestelmä on edes kunnolla käynnistynyt.

Miten rootkit toimii?

Rootkitit on suunniteltu hankkimaan luvaton pääsy tietokoneelle. Ne pitävät itsensä visusti piilossa ja suojaavat myös samalla haittaohjelmia, joiden asentamiseen niitä käytetään. Rootkitit toimivat tavallisesti syvällä järjestelmissä muokaten järjestelmän prosesseja ja piilottaen tiedostoja.

Rootkitit hankkivat pääkäyttäjän tai ydintason käyttöoikeudet, minkä ansiosta ne voivat hallita järjestelmän resursseja. Ne on kehitetty kätkemään haitalliset prosessit, tiedostot ja verkkoyhteydet, jotta käyttäjät tai virustorjuntaohjelmat eivät havaitsisi niitä.

Rootkitit myös usein korvaavat järjestelmän omia elementtejä (esimerkiksi ajurit tai kirjautumisvälineet) muokatuilla versioilla, jolloin ne voivat kaapata tietoja ja säilyttää pääsyn järjestelmään. Lisäksi ne on luotu pitkäikäisiksi ja latautumaan ennen itse käyttöjärjestelmää, mikä tekee niiden poistamisesta vaikeaa.

Miten rootkitin voi saada?

Hakkerit käyttävät rootkitien levittämiseen ja asentamiseen monenlaisia keinoja. Katso alta esimerkkejä:

  • Tietojenkalastelu ja käyttäjän manipulointi. Kyberrikolliset hyödyntävät phishing-huijaussähköposteja saadakseen uhrinsa lataamaan haittaohjelman tai napsauttamaan linkkiä, joka asentaa rootkitin.
  • Ohjelmistojen haavoittuvuuksien hyödyntäminen. Rootkitit hyödyntävät käyttöjärjestelmän tai ohjelmien korjaamattomia turvallisuusvirheitä luvattoman pääsyn hankkimiseen.
  • Ohjelmistolataukset. Rootkit saatata piileskellä piraattiohjelmassa tai -mediassa tai aidolta vaikuttavassa sovelluksessa, jonka käyttäjä lataa epävirallisesta lähteestä. Käyttäjä siis lataa ohjelmiston tai mediaa, jonka kylkiäisenä hän tulee ladanneeksi rootkitin.
  • Drive by -lataukset. Vaarallisella sivustolla vierailu voi johtaa haitallisen latauksen käynnistämiseen, joka johtaa rootkitin asentumiseen ilman, että käyttäjä huomaa mitään.
  • Saastuneet oheislaitteet. Saastuneen USB-tikun tai muun laitteen yhdistäminen koneeseen voi johtaa rootkitin automaattiseen asentamiseen.

Mistä rootkitin tunnistaa?

Kuten yllä jo mainittiin, rootkitin havaitseminen voi olla vaikeaa, eivätkä ne välttämättä vaikuta arkiseen tietokoneen käyttöön tavalla, jonka käyttäjä huomaisi. Joskus niistä kuitenkin voi huomata merkkejä:

  • Sininen näyttö. Jos tietokonetta täytyy jatkuvasti käynnistää uudelleen ja näet Windowsin sinisen näytön, jolla näkyy valkoista tekstiä (ilmoitus vakavasta virheestä), syynä voi olla rootkit.
  • Verkkoselaimen outo käytös. Jos huomaat verkkoselaimessa tuntemattomia kirjanmerkkejä tai liikennettäsi ohjataan jatkuvasti toisille sivustoille, tietokoneessasi saattaa lymytä rootkit.
  • Hitaus. Rootkit voi johtaa siihen, että tietokone yhtäkkiä hidastuu, kaatuilee tai käynnistyminen vie tavallista pitempään.
  • Muutokset Windowsin asetuksissa. Jos huomaat, että koneesi asetuksissa on tapahtunut muutoksia (esimerkiksi työkalupalkki ei ole näkyvillä, päiväys on virheellinen tai näytönsäästäjä on muuttunut), asetuksia on saattanut muuttaa rootkit-ohjelma.
  • Verkkosivustot eivät toimi kunnolla. Jos konettasi käytetään esimerkiksi osana bottiverkkoa, verkkosivustot eivät välttämättä liikenteen takia lataudu kunnolla, tai toiminnot voivat pätkiä.

Miten rootkit voidaan poistaa?

Ensin rootkit on havaittava. Jos epäilet, että tietokoneellasi saattaa olla rootkit, käytä haittaohjelmien tarkistustyökalua. Jos se havaitsee rootkitin, seuraa ohjeita ja poista rootkit. Joskus rootkitin havaitseminen voi kuitenkin olla vaikeaa ja poistaminen vaatii erityisiä työkaluja. Jos haittaohjelmaskannauksessa ei löydy rootkitiä, mutta oletat, että tietokoneessasi on rootkit, käänny asiantuntijan puoleen.

Rootkitin poisto Windowsissa

Rootkitit lymyävät usein syvällä tietokoneen järjestelmissä, ja usein niistä eroon pääseminen vaatii Windowsin asentamista uudelleen. Tähän ei kannata käyttää Windowsin omaa asennustoimintoa, vaan turvallisuussyistä asennus tulee suorittaa ulkoista laitetta käyttämällä. Joskus rootkit on ujuttautunut laitteen rakenteisiin niin, että ainoa ratkaisu on uuden tietokoneen hankkiminen.

Rootkitin poisto Mac-tietokoneelta?

Mac-tietokoneiden päivitykset paitsi parantavat turvallisuutta myös poistavat haittaohjelmia, rootkit mukaan lukien. Lisäksi Mac-koneissa on erilaisia suojaustoimintoja, jotka saattavat onnistua torjumaan rootkitinkin. Tämä ei kuitenkaan tarkoita sitä, että Mac-koneet olisivat rootkiteiltä turvassa, joten jos arvelet, että laitteessasi on rootkit, käytä virustorjuntaohjelmaa sen löytämiseen. Usein ratkaisuna rootkitin poistamiseen on käyttöjärjestelmän asentaminen uudelleen. Jos rootkitiä ei tällä tavalla saa pois, joudut todennäköisesti ostamaan uuden tietokoneen.

Miten rootkitejä voi torjua?

Rootkitin torjunnassa kannattaa käyttää sekä omia tietoturvataitoja että teknologiaa.

  • Ole varuillasi tietojenkalasteluviestien varalta. Älä napsauta viestien (sähköposti, tekstiviestit, viestit viestintäsovelluksissa) linkkejä tai lataa tiedostoja, jos viesti vaikuttaa vähänkään epäilyttävältä.
  • Ole tarkkana uusia sovelluksia ladatessasi. Lataa sovelluksia vain luotetuista lähteistä. Vaarallisista lähteistä ladattujen sovellusten mukana voi saada haittaohjelman, kuten rootkitin.
  • Lataa päivitykset. Oli kyseessä sitten käyttöjärjestelmän tai tietyn ohjelman päivitys, älä viivyttele. Päivitykset parantavat turvallisuutta, sillä niissä korjataan haavoittuvuuksia, joita rootkitienkin asentamiseen käytetään.
  • Hyödynnä teknologiaa. Laadukas VPN parantaa tietosuojaa, mutta niiden mukana saat myös monenlaisia turvallisuusvälineitä. Olivatpa kyseessä sitten vaaralliset tietojenkalastelusivustot tai haittaohjelmia sisältävät lataukset, virus puhelimessa tai vaaralliset mainokset, kattava VPN-palvelu auttaa torjumaan uhat estämällä vaaralliset teot.
  • Tarkkaile laitteitasi. Joskus laitteet vain temppuilevat, mutta jos ongelmia on usein tai huomaat muutoksia laitteillasi, kyseessä voi olla jotain vakavampaa. Katso myös, onko laitteella tuntemattomia sovelluksia tai onko asetuksissa tapahtunut muutoksia. Jos näin on, laitteessasi saattaa olla haittaohjelma, kuten rootkit.

Verkkoturvallisuus käynnistyy napsautuksella.

Pysy suojattuna maailman johtavan VPN:n avulla

Hanki NordVPN Lue lisää

Usein kysyttyä

Saatavilla myös kielille: Dansk,Deutsch,English,Español,Français,Italiano,日本語,‪한국어‬,Nederlands,Norsk,Polski,Português Brasileiro,Русский,Svenska,繁體中文 (台灣).

Ksenija Trimailova | NordVPN

Ksenija Trimailova

Ksenija on NordVPN:n sisällöntuottaja, joka uskoo, että kyberturvallisuus on erittäin tärkeä osa jokapäiväistä elämäämme. Hän etsii jatkuvasti uusia tapoja tehdä tästä aiheesta entistä kiinnostavamman ja helpommin lähestyttävän.

Suositut artikkelit