Zjistěte rootkit a chraňte se před ním
Většinu malwaru, který používají zločinci na celém světě, jejich oběti nezjistí. Je to také kvůli malwaru, jako je rootkit. Srozumitelně vám ukážeme, co je rootkit, jaké typy existují a jak před nimi můžete počítač chránit správnými nástroji.
Co je rootkit?
Rootkit je malware, který je skrytý velmi hluboko v operačním systému. Kvůli jejich programování lze rootkity obvykle detekovat a odstranit pouze pomocí příslušného antivirového softwaru.
Ústřední funkcí rootkitů je umožnit přístup třetích stran k cizímu počítači. Můžete jej ovládat na dálku, manipulovat s ním nebo krást data. Útoky rootkit se také používají například k instalaci softwaru, pomocí kterého mohou útočníci vzdáleně ovládat botnet.
Rootkit se obvykle skládá ze svazku malwaru. Rootkit může obsahovat keyloggery, roboty nebo ransomware.
Info: Odkud pochází název „rootkit“?
Pojem „rootkit“ se skládá ze slov „root“ (němčina = root = nejvyšší adresář v systému souborů; uživatel se všemi právy správce) a „kit“ (němčina = sada). Rootkit je zcela neutrální kolekce softwarových aplikací, které mohou využívat práva správce. Ale když jsou tato práva použita k opětovnému načtení malwaru, rootkit se sám stane malwarem.
Rootkit: Existují tyto typy
Rootkity jsou obvykle klasifikovány podle hloubky, ve které působí v systému souborů dotyčného počítače.
Rootkity uživatelského režimu |
Hlavním problémem těchto rootkitů je účet správce ve vašem počítači. Malware má všechny výhody přístupu správce k souborům nebo programům a může například měnit nastavení zabezpečení. Na těchto rootkitech je záludná věc: Jsou automaticky spuštěny při každém restartu počítače. |
Rootkity modelu jádra |
Tyto rootkity fungují přímo na úrovni operačního systému a mají tak možnost manipulace se všemi oblastmi operačního systému. Pokud jsou viry nakaženy rookitem režimu jádra, mohou dokonce i skeny virů způsobit nesprávné výsledky. Rootkity jádra však musí překonat mnoho překážek, než se mohou v jádře zaseknout. Obvykle jsou zaznamenány předem, například proto, že počítač stále havaruje. |
Firmware rootkity |
Tyto rootkity mohou implantovat firmware počítačových systémů. Jakmile jsou odstraněny, automaticky se znovu nainstalují při každém restartu. Díky tomu jsou rootkity firmwaru obzvláště trvalé a je obtížné je odstranit. |
Zaváděcí sady |
Tyto rootkity se zasekly v zaváděcím sektoru. Když spustíte počítač, systém použije hlavní spouštěcí záznam. Tam také najdete bootovací sadu, která se načte při každém spuštění. Důležitou ochranu mají uživatelé novějších operačních systémů Windows, jako je 8 nebo 10. Tyto verze již mají zabezpečovací systémy, které zabraňují spuštění zaváděcích sad při zapnutí počítače. |
Virtuální rootkity |
Tyto rootkity se instalují na virtuální počítač a mohou přistupovat k infikovanému počítači mimo skutečný operační systém. To ztěžuje detekci softwaru pro ochranu před viry. |
Hybridní rootkity | Tyto rootkity rozdělují software a instalují jeho části do jádra a dalších částí na uživatelské úrovni. Tyto rootkity jsou výhodné pro zločince, protože běží velmi stabilně na uživatelské úrovni a zároveň působí v jádře, tedy kamuflovaně. |
Aby se viry mohly chránit před těmito zákeřnými hrozbami, musí mít mimo jiné aktuální definice virů.
Jak se rootkit dostane do počítače?
Rootkity vždy potřebují „vozidlo“, pomocí kterého se mohou implantovat do počítače. Rootkit se zpravidla vždy skládá ze tří komponent, samotného rootkitu, kapátka a zavaděče. Kapátko je srovnatelné s počítačovým virem, který nakazí váš počítač. Protože kapátko hledá bezpečnostní díru, aby uložilo rootkit na požadované zařízení. Poté se použije nakladač. Instaluje rootkit na infikovaný počítač, např. Do jádra nebo na uživatelskou úroveň, pokud se jedná o rootkit v uživatelském režimu.
Rootkity používají k upuštění následující média:
Posel |
Pokud například prostřednictvím messengeru obdržíte škodlivý odkaz nebo soubor a otevřete odkaz nebo soubor, může kapátko umístit rootkit do vašeho zařízení. |
Hackovaný software a aplikace: |
Rootkity mohou hackeři „propašovat“ do důvěryhodného softwaru nebo aplikací. Soubory jsou například distribuovány na internetu jako bezplatné nabídky. Jakmile nainstalujete tyto programy, stáhnete si také rootkit do počítače. |
Soubory PDF nebo Office: | Rootkity se mohou skrývat v souborech Office nebo PDF, ať už jako příloha pošty nebo ke stažení. Jakmile soubor otevřete, kapátko vloží soubor do vašeho počítače a zavaděč začne instalovat na pozadí. |
Jak poznám rootkit na svém počítači (rootkit skener)?
Aby bylo možné spolehlivě detekovat rootkity a poté je odstranit, je vyžadován skener rootkitů, který je součástí antivirové kontroly výkonných antivirových programů. Tyto kontroly mohou například rozpoznat běžné podpisy rootkitů. S těmito podpisy jsou čísla v kódu uspořádána v určité formě. Ale ve vašem počítači jsou také některé příznaky, které mohou naznačovat možnou infekci rootkitem.
- Neobvyklé chování vašeho počítače: Rootkity se vyznačují svou nenápadností. Může se však stát, že se váš počítač bude chovat jinak než obvykle, například neúmyslně spustí programy nebo spustí procesy, které jste nespustili.
- Vaše nastavení systému se změní bez jakékoli akce z vaší strany: Pokud například zjistíte, že váš počítač obecně umožňuje vzdálený přístup nebo otevírá porty, může být příčinou rootkit.
- Analýza výpisu paměti: Když počítač havaruje, systém Windows vytvoří bitovou kopii systémové paměti. Odborníci mohou tento soubor použít k identifikaci neobvyklých vzorů, které rootkit vytváří.
- Vaše internetové připojení je vždy nestabilní: Rootkity mohou například zajistit velké datové toky, přes které mají hackeři přístup k datům. Tyto pohyby dat mohou vaši internetovou linku velmi zpomalit nebo dokonce způsobit její zhroucení.
Jak se mohu chránit před rootkitem?
Nejdůležitější ochranou před rootkity je použití aktuálního antivirového programu. Vybaven nejnovějšími definicemi virů, ochrana v reálném čase vás může varovat před nebezpečným stahováním a instalacemi a pomocí antivirového skeneru pravidelně kontrolovat počítač, zda neobsahuje rootkity.
Kromě toho se doporučují následující opatření:
- V každodenním životě používejte pouze jeden uživatelský účet a ne přístup správce: Pokud se přihlásíte do systému Windows nebo iOS pomocí účtu hosta, máte pouze omezená práva. Pokud v tomto období nakazíte počítač rootkitem, může kapátko přistupovat pouze k této uživatelské úrovni, a nikoli například přímo k jádru.
- Pravidelně aktualizujte svůj operační systém a software: Výrobci uzavírají známé bezpečnostní mezery pravidelnými aktualizacemi. Je proto nezbytné, abyste provedli všechny potřebné aktualizace.
- Stahujte soubory z internetu pouze z renomovaných webových stránek: Vyhněte se potenciálně nebezpečnému stahování, minimalizujte riziko, že se stanete obětí rootkitu.
- Otevírejte pouze přílohy e-mailů od odesílatelů, kterým důvěřujete: Pokud přijímáte e-maily od odesílatelů s kryptickými e-mailovými adresami, je nejlepší je odstranit. Pokud vám příloha e-mailu ze známé adresy zní divně, je lepší se před otevřením přílohy e-mailu znovu poradit s odesílatelem.
- Nainstalujte si aplikace pro chytré telefony pouze z oficiálních obchodů s aplikacemi: Pokud získáte aplikace z oficiálních zdrojů, již procházejí bezpečnostní kontrolou. Snížíte tím riziko načtení rootkitu do svého smartphonu.
Odstranit rootkit - jak postupovat
Vždy byste měli rootkity odebrat pomocí speciálního antivirového softwaru. Protože se tento malware může ukrýt hluboko v operačním systému vašeho počítače, je ruční odstranění obvykle velmi obtížné. Pokud při odstraňování zapomenete malé zbytky rootkitu, obvykle se po restartu sám přeinstaluje.
Nejlepší způsob, jak odebrat rootkity, je použít aktuální antivirový program, který obsahuje nejaktuálnější definice virů. Poté se doporučuje antivirová kontrola v nouzovém režimu, aby rootkit nemohl například znovu načíst data z internetu. K úplnému odstranění rootkitu je často nutné několikrát spustit skenování virů nebo malwaru.
Tento článek vám poskytne podrobné pokyny, jak najít a odstranit rootkity.
Známé rootkity
Rootkity jsou velmi staré internetové hrozby. Jedním z prvních známých rootkitů je malware, který v roce 1990 napadal hlavně operační systémy Unix. První známý rootkit pro počítače se systémem Windows byl NTR rootkit, který byl v oběhu v roce 1999. Toto je rootkit jádra.
V letech 2003 až 2005 došlo k různým velkým útokům s rootkity, včetně útoku na mobilní telefony, které byly aktivovány v síti Vodafone Řecko. Tento rootkit se stal známým jako „řecký Watergate“, protože mimo jiné byl ovlivněn řecký premiér.
V roce 2008 zuřila bootovací sada TDL-1. Kybernetičtí zločinci jej použili k vybudování velkého botnetu pomocí trojského koně.
V roce 2009 byl poprvé objeven rootkit, který také infikuje operační systémy Apple. Bylo pokřtěno „Machiavelli“.
V roce 2010 zuřil červ Stuxnet. Mimo jiné použil rootkit, který měl špehovat íránský jaderný program. Izraelské a americko-americké tajné služby jsou podezřelé jako vývojáři a útočníci.
S LoJaxem byl v letech 2022-2023 objeven rootkit, který poprvé nakazí firmware na základní desce počítače. To umožňuje malwaru, aby se sám znovu aktivoval po přeinstalování operačního systému.
Závěr: Obtížně zjistitelné, ale s aktualizovaným antivirovým softwarem a opatrností lze riziko snížit
Vzhledem k tomu, že rootkity jsou hluboce zakořeněny v operačním systému počítače, je prevence obzvláště důležitá. Jakmile je rootkit nainstalován, je pro laiky obtížné detekovat infekci. Každý, kdo je na internetu opatrný s aktuálním systémem antivirové ochrany a příslušnými nástroji a kdo neopatrně neotevírá neznámé soubory, snižuje pravděpodobnost, že se stane obětí rootkitu.