Apa itu Rootkit?? Bagaimana cara kerja Rootkit?? Rootkit menjelaskan.

Meskipun mungkin untuk menyembunyikan malware dengan cara yang akan menipu bahkan produk antivirus/antispyware tradisional, sebagian besar program malware sudah menggunakan rootkit untuk bersembunyi jauh di PC Windows Anda… dan mereka menjadi lebih berbahaya! Rootkit DL3 adalah salah satu rootkit paling canggih yang pernah ada di alam liar. Rootkit stabil dan dapat menginfeksi sistem operasi Windows 32 bit; meskipun hak administrator diperlukan untuk menginstal infeksi di sistem. Tetapi TDL3 sekarang telah diperbarui dan sekarang dapat menginfeksi bahkan versi 64-bit  Windows!

Apa itu Rootkit?

Virus Rootkit adalah jenis malware tersembunyi yang dirancang untuk menyembunyikan keberadaan proses atau program tertentu di komputer Anda dari metode deteksi biasa, sehingga memungkinkannya atau proses berbahaya lainnya mengakses komputer Anda.

Rootkit untuk Windows biasanya digunakan untuk menyembunyikan perangkat lunak berbahaya dari, misalnya, program antivirus. Ini digunakan untuk tujuan jahat oleh virus, worm, backdoor, dan spyware. Sebuah virus yang dikombinasikan dengan rootkit menghasilkan apa yang dikenal sebagai virus siluman penuh. Rootkit lebih umum di bidang spyware, dan sekarang juga menjadi lebih umum digunakan oleh pembuat virus juga.

Mereka sekarang adalah jenis Super Spyware yang bersembunyi secara efektif & berdampak langsung pada kernel sistem operasi. Mereka digunakan untuk menyembunyikan keberadaan objek berbahaya seperti trojan atau keylogger di komputer Anda. Jika ancaman menggunakan teknologi rootkit untuk menyembunyikannya, sangat sulit untuk menemukan malware di PC Anda.

Rootkit itu sendiri tidak berbahaya. Satu-satunya tujuan mereka adalah menyembunyikan perangkat lunak dan jejak yang tertinggal di sistem operasi. Apakah ini perangkat lunak normal atau program malware.

Pada dasarnya ada tiga jenis Rootkit. Tipe pertama, “Rootkit Kernel” biasanya menambahkan kode sendiri ke bagian inti sistem operasi, sedangkan jenis kedua, “Rootkit mode pengguna” secara khusus ditargetkan ke Windows untuk memulai secara normal selama sistem dimulai, atau disuntikkan ke dalam sistem oleh apa yang disebut “Dropper”. Tipe ketiga adalah Rootkit atau Bootkit MBR.

Ketika Anda menemukan AntiVirus & AntiSpyware Anda gagal, Anda mungkin perlu meminta bantuan a Utilitas Anti-Rootkit yang bagus. RootkitRevealer dari Microsoft Sysinternals adalah utilitas deteksi rootkit tingkat lanjut. Outputnya mencantumkan perbedaan Registry dan sistem file API yang mungkin menunjukkan adanya mode pengguna atau rootkit mode kernel.

Laporan Ancaman Pusat Perlindungan Malware Microsoft di Rootkit

Pusat Perlindungan Malware Microsoft telah menyediakan untuk mengunduh Laporan Ancamannya di Rootkit. Laporan tersebut memeriksa salah satu jenis malware yang lebih berbahaya yang mengancam organisasi dan individu saat ini - rootkit. Laporan tersebut memeriksa bagaimana penyerang menggunakan rootkit, dan bagaimana rootkit berfungsi di komputer yang terpengaruh. Berikut adalah inti dari laporan ini, dimulai dengan apa itu Rootkit - untuk pemula.

Rootkit adalah seperangkat alat yang digunakan penyerang atau pembuat malware untuk mendapatkan kendali atas sistem yang terbuka/tidak aman yang biasanya disediakan untuk administrator sistem. Dalam beberapa tahun terakhir istilah 'ROOTKIT' atau 'ROOTKIT FUNCTIONALITY' telah digantikan oleh MALWARE - sebuah program yang dirancang untuk memiliki efek yang tidak diinginkan pada komputer yang sehat. Fungsi utama malware adalah untuk menarik data berharga dan sumber daya lainnya dari komputer pengguna secara diam-diam dan memberikannya kepada penyerang, sehingga memberinya kendali penuh atas komputer yang disusupi. Selain itu, mereka sulit untuk dideteksi dan dihilangkan dan dapat tetap tersembunyi untuk waktu yang lama, mungkin bertahun-tahun, jika tidak diperhatikan.

Jadi tentu saja, gejala komputer yang disusupi perlu ditutupi dan dipertimbangkan sebelum hasilnya terbukti fatal. Khususnya, langkah-langkah keamanan yang lebih ketat harus diambil untuk mengungkap serangan itu. Namun, seperti yang disebutkan, setelah rootkit/malware ini diinstal, kemampuannya yang tersembunyi membuat sulit untuk menghapusnya dan komponennya yang mungkin diunduh. Untuk alasan ini, Microsoft telah membuat laporan tentang ROOTKITS.

Laporan 16 halaman menguraikan bagaimana penyerang menggunakan rootkit dan bagaimana rootkit ini berfungsi pada komputer yang terpengaruh.

Satu-satunya tujuan laporan ini adalah untuk mengidentifikasi dan memeriksa dengan cermat malware yang berpotensi mengancam banyak organisasi, khususnya pengguna komputer. Itu juga menyebutkan beberapa keluarga malware yang umum dan menjelaskan metode yang digunakan penyerang untuk menginstal rootkit ini untuk tujuan egois mereka sendiri pada sistem yang sehat. Di sisa laporan, Anda akan menemukan para ahli membuat beberapa rekomendasi untuk membantu pengguna mengurangi ancaman dari rootkit.

Jenis Rootkit

Ada banyak tempat di mana malware dapat menginstal dirinya sendiri ke dalam sistem operasi. Jadi, sebagian besar jenis rootkit ditentukan oleh lokasinya di mana ia melakukan subversi dari jalur eksekusi. Ini termasuk:

1. Rootkit Mode Pengguna
2. Rootkit Mode Kernel
3. MBR Rootkit/bootkit

Kemungkinan efek dari kompromi rootkit mode kernel diilustrasikan melalui tangkapan layar di bawah ini.

Jenis ketiga, ubah Master Boot Record untuk mendapatkan kendali sistem dan memulai proses memuat titik sedini mungkin dalam urutan boot3. Ini menyembunyikan file, modifikasi registri, bukti koneksi jaringan serta indikator lain yang mungkin dapat menunjukkan keberadaannya.

Keluarga Malware Terkemuka yang menggunakan fungsionalitas Rootkit

• Win32/Sinowal13 - Malware multi-komponen yang mencoba mencuri data sensitif seperti nama pengguna dan kata sandi untuk sistem yang berbeda. Ini termasuk mencoba mencuri detail otentikasi untuk berbagai akun FTP, HTTP, dan email, serta kredensial yang digunakan untuk perbankan online dan transaksi keuangan lainnya.
• Win32/Cutwail15 - Trojan yang mengunduh dan mengeksekusi file arbitrer. File yang diunduh dapat dieksekusi dari disk atau disuntikkan langsung ke proses lain. Sementara fungsionalitas file yang diunduh bervariasi, Cutwail biasanya mengunduh komponen lain yang mengirim spam. Ini menggunakan rootkit mode kernel dan menginstal beberapa driver perangkat untuk menyembunyikan komponennya dari pengguna yang terpengaruh.
• Win32/Rustock - Sebuah keluarga multi-komponen Trojan backdoor berkemampuan rootkit awalnya dikembangkan untuk membantu distribusi email "spam" melalui botnet. Botnet adalah jaringan komputer yang disusupi oleh penyerang yang dikendalikan oleh penyerang.

Perlindungan terhadap rootkit

Mencegah pemasangan rootkit adalah metode paling efektif untuk menghindari infeksi oleh rootkit. Untuk ini, perlu berinvestasi dalam teknologi pelindung seperti produk anti-virus dan firewall. Produk tersebut harus mengambil pendekatan perlindungan yang komprehensif dengan menggunakan deteksi berbasis tanda tangan tradisional, deteksi heuristik, kemampuan tanda tangan yang dinamis dan responsif, serta pemantauan perilaku.

Semua rangkaian tanda tangan ini harus selalu diperbarui menggunakan mekanisme pembaruan otomatis. Solusi antivirus Microsoft mencakup sejumlah teknologi yang dirancang khusus untuk mengurangi rootkit, termasuk pemantauan perilaku kernel langsung yang mendeteksi dan melaporkan upaya untuk memodifikasi kernel sistem yang terpengaruh, dan penguraian sistem file langsung yang memfasilitasi identifikasi dan penghapusan driver tersembunyi.

Jika suatu sistem ditemukan disusupi maka alat tambahan yang memungkinkan Anda untuk boot ke lingkungan yang dikenal baik atau tepercaya mungkin terbukti berguna karena mungkin menyarankan beberapa tindakan perbaikan yang sesuai.

Dalam keadaan seperti itu,

1. Alat Penyapu Sistem Mandiri (bagian dari Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline semoga bermanfaat.

Untuk informasi lebih lanjut, Anda dapat mengunduh laporan PDF dari Microsoft Download Center.