Rootkit, מה זה? איך נמנעים ואיך מחסלים?

"Rootkits" הם שכבות אבטחה המסתירות את הוירוס עצמו. ה- Rootkit עובד בשיטה ברורה וקבועה- תחילה הוירוס מעתיק "שירות" (Service) לתוך המערכת שלנו ואז מבקש אישור מה- Kernel (ליבת הוינדוס) לפתוח Tunnel (ערוץ תקשורת מאושר) על מנת להזריק לתוכו התקן "שכביכול" מחובר למחשב.

ה- Kernel מאשר את הבקשה ומפה והלאה ה Rootkit נכנס לפעולה ומסתיר תחת הרשאות מערכת את כל הקבצים שתוכנן מראש להסתיר.

לאחר שמיקרוסופט פירסמה את "SP2" למערכת ההפעלה "XP" הטיפול ב "Rootkits" או יותר נכון סכנות ההידבקות הפכו לפחותות מאשר לפני העדכון. האפשרות להסיר Rootkit נעשה ע"י מספר כלים המאפשרים זאת. מה שכלים אלו עושים, הם להאזין לכל הפעלות המחשב בעת העלאת הוינדוס ולנתח את אופי פעולותיהם וגישותיהם למערכת. בעת והתגלה קובץ אשר מבצע גישה ל Kernel וזוהה כקובץ עוין התוכנה מתריעה על כך בפני המשתמש.

וירוסים רבים משתמשים כיום בשיטה זו על מנת לא להחשף מגילוי על ידי האנטי וירוס הביתי שלנו.

ישנן כמה שכבות בהן "ROOTKITS" נמצאות והן כדלקמן:

* Ring 3
* Ring 2
* Ring 1
* Ring 0
* Kernel

אפשר לראות הסבר בתמונה.

Ring 1 2 3, אלו שכבות מערכת ההפעלה (וינדוס) שבלב המערכת נמצאת ה Kernel. ה- Rootkit פותח Tunnel בין כל שכבות האבטחה החל מ Ring3 ומבקש מה- Kernel אפשרות גישה אליו.

ישנן כמה תוכנות מצויינות שהטובה בניהן היא UnHackMe (בקישור למטה). התוכנה ComboFix היא תוכנה שמבצעת ניקיון אוטומתי, היא טובה גם כן, אך תמיד עדיף לבצע בדיקה ידנית קודם לכן.

להורדה:
ComboFix, UnHackMe