Co to jest rootkit i jak go uniknąć?

Rootkit – co to jest?

Rootkity to ogólna nazwa określająca programy, które są w stanie pozostawać ukryte na komputerze ofiary i działać na jej szkodę. Jest to więc bez wątpienia złośliwe oprogramowanie. Twórcy rootkitów korzystają z nich, by niepostrzeżenie dostawać się do systemów operacyjnych swoich ofiar i przejmować nad nimi zdalną kontrolę.

Dlaczego świadomi użytkownicy sieci tak bardzo obawiają się rootkitów? Przede wszystkim dlatego, że ten rodzaj malware bywa trudny zarówno do wykrycia, jak i do późniejszego usunięcia. Rootkity są zaprojektowane tak, by działać w cieniu. Nie pojawiają się więc w systemie jako ikonki programów ani nie widać ich w menadżerze zadań.

Istnieje kilka wariantów rootkitów. Najważniejsze z nich to rootkity operujące w trybie użytkownika oraz operujące w trybie jądra. Te pierwsze działają w tej samej części systemu operacyjnego, co wszelkie aplikacje użytkowe. Drugie natomiast są bardziej skomplikowane. Ukrywają się bardzo głęboko w systemie, w związku z czym są trudniejsze do wykrycia. Jeśli zostaną zainstalowane w trybie jądra, mogą umożliwić swojemu twórcy pełną kontrolę nad zainfekowanym komputerem.

Zastosowania rootkitów

Cyberprzestępcy tworzą rootkity, żeby osiągnąć pewne cele. Jakie na przykład?

• Zarażenie komputera innym złośliwym oprogramowaniem – niektóre rootkity są połączone z innymi programami z kategorii malware. Mogą to być konie trojańskie, keyloggery i inne.
• Wyłączenie oprogramowania antywirusowego – niektóre rootkity są w stanie zmodyfikować zabezpieczenia systemu tak, by ułatwić rozprzestrzenianie się innych programów typu malware.
• Otwarcie furtki dla hakerów – rootkity potrafią figurować jako pewnego rodzaju bramki będące prostą drogą do systemu operacyjnego dla wszelkich niepożądanych gości. Hakerzy mogą więc uzyskać dane przechowywane na maszynie – personalne informacje dotyczące kont bankowych i inne. Rootkity operujące w trybie jądra mogą również umożliwiać zdalną kontrolę nad komputerem.

Typy rootkitów

Rootkit działający w trybie jądra

Wspomniany wcześniej najtrudniejszy do wykrycia rodzaj rootkita. Jest zaprojektowany tak, by dostawać się do najgłębszej warstwy systemu operacyjnego – jego jądra. Z tego miejsca może przejmować kontrolę nad wszystkimi procesami i umożliwiać hakerom zdalny dostęp do maszyny.

Rootkit działający w trybie użytkownika

Zaprogramowany tak, by wnikać do warstwy systemu, w której działają pozostałe aplikacje. Potrafi przejmować kontrolę nad procesami, modyfikować oprogramowanie czy nadpisywać obszary pamięci. Na szczęście jest łatwiejszy do wykrycia niż wariant wymieniony wcześniej.

Rootkit typu firmware

Operuje w tak zwanym oprogramowaniu sprzętowym – routerach, access pointach czy urządzeniach peryferyjnych komputera. Umożliwia cyberprzestępcom przejmowanie kontroli nie nad samym komputerem, ale nad podłączonymi do niego sprzętami. Rootkit zainstalowany na routerze może na przykład przechwytywać przesyłane przez niego dane.

Bootkit

Stworzony w taki sposób, by uruchamiać się jak najwcześniej podczas bootowania systemu operacyjnego. Ładuje się więc jeszcze przed wystartowaniem oprogramowania antywirusowego i innych zabezpieczeń. Może tym samym niepostrzeżenie modyfikować kody systemu i sterowników.

Wirus rootkit – jak dochodzi do zainfekowania?

Istnieje kilka potencjalnych źródeł złośliwego oprogramowania typu rootkit. W jaki sposób może dojść do infekcji?

• Poprzez ataki phishingowe – twórcy malware mogą podszywać się pod zaufane osoby i rozsyłać pliki, które w rzeczywistości funkcjonują jako narzędzia do kradzieży danych i czynienia innych szkód.
• Poprzez korzystanie z podejrzanych witryn internetowych – niektórzy cyberprzestępcy tworzą strony internetowe, poprzez które możliwe jest pobranie rootkita.
• Poprzez podłączanie do komputera urządzeń nieznanego pochodzenia – sprzęty takie jak pendrive’y czy dyski zewnętrzne mogą być nosicielami rootkitów.
• Poprzez pobieranie oprogramowania z niepewnych źródeł – nawet potencjalnie bezpieczne aplikacje mogą mieć rootkity w zestawie. Malware może zostać „dołączony” do programu między innymi przez operatora witryny internetowej będącego w rzeczywistości cyberprzestępcą.

Jak usunąć rootkit?

Rootkity są niestety niezwykle trudne zarówno do wykrycia, jak i późniejszego usunięcia. Na szczęście aktualnie dochodzi do mniejszej liczby ataków niż dawniej. To dlatego, że nowoczesne systemy operacyjne posiadają dość silne zabezpieczenia – również na poziomie jądra. Jak usunąć rootkit, jeśli jednak dojdzie do infekcji?

• Oprogramowanie anti-malware oraz aplikacje typu antyrootkit – niektórzy twórcy oprogramowania zabezpieczającego przed malware udostępniają narzędzia, które są w stanie walczyć z rootkitami. Nie każdy malware da się usunąć tym sposobem – te bardziej zaawansowane będą z pewnością lepiej ukryte. Warto jednak spróbować tej najprostszej metody.
• Reinstalacja systemu operacyjnego – w przypadku bardziej skomplikowanych rootkitów jest to niestety jedyna droga do pozbycia się problemu.

Jak uniknąć rootkita?

Jak widać, rootkity bywają ciężkie do usunięcia. Czasami jest to praktycznie niemożliwe – trzeba ponownie zainstalować cały system. Z tego względu warto dołożyć wszelkich starań, by nie dopuścić do instalacji rootkita na komputerze.

• Skanowanie systemu pod kątem rootkitów – warto regularnie korzystać ze specjalistycznych, godnych zaufania narzędzi stworzonych do wykrywania tego rodzaju malware.
• Zdrowy rozsądek – nigdy nie należy pobierać oprogramowania z niepewnych źródeł. Nie warto też otwierać podejrzanych odnośników ani ściągać załączników dołączonych do maili, których nadawca jest niegodny zaufania.
• Aktualizacje zabezpieczeń – zarówno aktualizacje systemu operacyjnego, jak i oprogramowania antywirusowego powinny być instalowane bezzwłocznie.
• Urządzenia peryferyjne – wszelkie pendrive’y, dyski zewnętrzne i inne akcesoria komputerowe podłączane do maszyny powinny pochodzić ze znanego, pewnego źródła.
• Narzędzia wzmacniające ochronę w Internecie – warto zainwestować w dobrą usługę VPN, która nie tylko „ukryje” użytkownika przed wzrokiem cyberprzestępców, ale i zwiększy jego bezpieczeństwo na inne sposoby. Przykładowo, NordVPN w pakiecie zawiera także narzędzie Threat Protection, które wyświetla komunikat o potencjalnym zagrożeniu w razie odwiedzenia podejrzanej witryny internetowej. Funkcja skanuje również pliki w poszukiwaniu szkodliwego oprogramowania i nie tylko.