Kötü amaçlı yazılımları, geleneksel virüsten koruma/casus yazılım önleme ürünlerini bile kandıracak şekilde gizlemek mümkün olsa da, çoğu kötü amaçlı yazılım programı, Windows PC'nizin derinliklerine saklanmak için zaten rootkit kullanıyor… ve giderek daha tehlikeli hale geliyorlar! DL3 rootkit , vahşi doğada şimdiye kadar görülen en gelişmiş rootkitlerden biridir. Rootkit stabildi ve 32 bit Windows işletim sistemlerine bulaşabilirdi; Enfeksiyonu sisteme yüklemek için yönetici haklarına ihtiyaç duyulmasına rağmen. Ancak TDL3 şimdi güncellendi ve artık 64-bit Windows sürümlerine bile^{(even 64-bit versions  Windows)} bulaşabiliyor !

Rootkit nedir

 Rootkit virüsü, bilgisayarınızdaki belirli işlemlerin veya programların varlığını normal algılama yöntemlerinden gizlemek ve böylece bu veya başka bir kötü amaçlı işlemin bilgisayarınıza ayrıcalıklı erişimine izin vermek için tasarlanmış gizli bir kötü amaçlı yazılım türüdür.

Windows^{(Rootkits for Windows)} için Rootkit'ler genellikle kötü amaçlı yazılımları örneğin bir virüsten koruma programından gizlemek için kullanılır. Virüsler, solucanlar, arka kapılar ve casus yazılımlar tarafından kötü amaçlı amaçlarla kullanılır. Bir rootkit ile birleştirilen bir virüs, tam gizli virüsler olarak bilinenleri üretir. Rootkit'ler casus yazılım alanında daha yaygındır ve artık virüs yazarları tarafından da daha yaygın olarak kullanılmaktadır.

Artık, etkin bir şekilde gizlenen ve işletim sistemi çekirdeğini doğrudan etkileyen, gelişmekte olan bir Süper Casus Yazılım türüdür. ^{(Super Spyware)}Bilgisayarınızdaki truva atları veya tuş kaydediciler gibi kötü amaçlı nesnelerin varlığını gizlemek için kullanılırlar. Bir tehdit, gizlemek için rootkit teknolojisini kullanıyorsa, kötü amaçlı yazılımı PC'nizde bulmak çok zordur.

Rootkit'ler kendi başlarına tehlikeli değildir. Tek amaçları, yazılımları ve işletim sisteminde geride bıraktıkları izleri gizlemektir. Bunun normal yazılım mı yoksa kötü amaçlı yazılım programları mı olduğu.

Temel olarak üç farklı Rootkit türü vardır . İlk tür olan “ Çekirdek Kök Kitleri^{(Kernel Rootkits)} ” genellikle işletim sistemi çekirdeğinin bölümlerine kendi kodlarını eklerken, ikinci tür olan “ Kullanıcı modu Kök Kitleri^{(User-mode Rootkits)} ”, özellikle sistem başlangıcında normal şekilde başlatılması için Windows'a^(Windows) yöneliktir. veya “Dropper” olarak adlandırılan bir sistem tarafından sisteme enjekte edilir. Üçüncü tür, MBR Rootkits veya Bootkits'dir^{(MBR Rootkits or Bootkits)} .

AntiVirus & AntiSpyware yazılımınızın başarısız olduğunu fark ettiğinizde, iyi bir Anti-Rootkit Yardımcı Programının^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} yardımını almanız gerekebilir . Microsoft Sysinternals'tan ^{(Microsoft Sysinternals)}RootkitRevealer , gelişmiş bir rootkit algılama aracıdır. Çıktısı , bir kullanıcı modu veya çekirdek modu kök setinin varlığını gösterebilecek Kayıt Defteri^(Registry) ve dosya sistemi API tutarsızlıklarını listeler.^(API)

^{(Microsoft Malware Protection Center Threat Report)}Rootkit'lerde ^(Rootkits)Microsoft Kötü Amaçlı Yazılımdan Koruma Merkezi Tehdit Raporu 

Microsoft Kötü Amaçlı Yazılımdan Koruma Merkezi , ^{(Microsoft Malware Protection Center)}Rootkit'lerle^(Rootkits) ilgili Tehdit Raporunu^{(Threat Report)} indirmeye hazır hale getirdi . Rapor, günümüzde kurumları ve bireyleri tehdit eden daha sinsi kötü amaçlı yazılım türlerinden biri olan rootkit'i inceliyor. Rapor, saldırganların rootkit'leri nasıl kullandığını ve rootkit'lerin etkilenen bilgisayarlarda nasıl çalıştığını inceliyor. Yeni başlayanlar için Rootkit'lerin^(Rootkits) ne olduğuyla başlayarak, raporun bir özetini burada bulabilirsiniz .

Rootkit , bir saldırganın veya kötü amaçlı yazılım oluşturucunun, normalde bir sistem yöneticisi için ayrılmış olan, açıkta kalan/güvenli olmayan herhangi bir sistem üzerinde kontrol sağlamak için kullandığı bir dizi araçtır. Son yıllarda 'ROOTKIT' veya 'ROOTKIT İŞLEVSELLİĞİ' terimi, sağlıklı bir bilgisayarda istenmeyen etkiler yaratmak üzere tasarlanmış bir program olan MALWARE ile değiştirilmiştir. ^{(MALWARE –)}Kötü amaçlı yazılımın ana işlevi, bir kullanıcının bilgisayarından değerli verileri ve diğer kaynakları gizlice çekmek ve saldırgana sağlamak, böylece ona güvenliği ihlal edilmiş bilgisayar üzerinde tam kontrol sağlamaktır. Ayrıca, tespit edilmeleri ve kaldırılmaları zordur ve fark edilmezlerse uzun süreler, muhtemelen yıllarca gizli kalabilirler.

Bu nedenle, doğal olarak, güvenliği ihlal edilmiş bir bilgisayarın semptomlarının maskelenmesi ve sonuç ölümcül olmadan önce dikkate alınması gerekir. Özellikle saldırının ortaya çıkarılması için daha sıkı güvenlik önlemleri alınmalıdır. Ancak, belirtildiği gibi, bu rootkit'ler/kötü amaçlı yazılımlar yüklendikten sonra, gizli yetenekleri onu ve indirebileceği bileşenlerini kaldırmayı zorlaştırır. Bu nedenle Microsoft , ROOTKITS hakkında bir rapor oluşturmuştur .

16 sayfalık rapor, bir saldırganın rootkit'leri nasıl kullandığını ve bu rootkit'lerin etkilenen bilgisayarlarda nasıl çalıştığını özetliyor.

Raporun tek amacı, başta bilgisayar kullanıcıları olmak üzere birçok kuruluşu tehdit eden güçlü kötü amaçlı yazılımları tespit etmek ve yakından incelemektir. Ayrıca, yaygın olarak kullanılan bazı kötü amaçlı yazılım ailelerinden bahseder ve saldırganların bu kök kullanıcı takımlarını sağlıklı sistemlere kendi bencil amaçları için yüklemek için kullandıkları yöntemi gün ışığına çıkarır. Raporun geri kalanında, kullanıcıların rootkit'lerden kaynaklanan tehdidi hafifletmesine yardımcı olmak için bazı önerilerde bulunan uzmanlar bulacaksınız.

Rootkit Türleri

Kötü amaçlı yazılımın kendisini bir işletim sistemine yükleyebileceği birçok yer vardır. Bu nedenle, çoğunlukla rootkit'in türü, yürütme yolunun alt yapısını gerçekleştirdiği yere göre belirlenir. Bu içerir:

1. Kullanıcı Modu Rootkit'leri
2. Çekirdek Modu Rootkit'leri
3. MBR Kök setleri/önyükleme setleri

Çekirdek modu kök kullanıcı takımı uzlaşmasının olası etkisi, aşağıdaki ekran görüntüsü ile gösterilmiştir.

Üçüncü tür, sistemin kontrolünü ele geçirmek ve önyükleme sırasındaki mümkün olan en erken noktayı yükleme sürecini başlatmak için Ana Önyükleme Kaydı'nı değiştirir3. ^{(Master Boot Record)}Dosyaları, kayıt defteri değişikliklerini, ağ bağlantılarının kanıtlarını ve varlığını gösterebilecek diğer olası göstergeleri gizler.

Rootkit işlevini kullanan önemli Kötü Amaçlı Yazılım aileleri^(Malware)

• Win32/Sinowal 13 – Farklı sistemler için kullanıcı adları ve parolalar gibi hassas verileri çalmaya çalışan çok bileşenli bir kötü amaçlı yazılım ailesi. Bu, çeşitli FTP^(FTP) , HTTP ve e-posta hesaplarının kimlik doğrulama ayrıntılarını ve ayrıca çevrimiçi bankacılık ve diğer finansal işlemler için kullanılan kimlik bilgilerini çalma girişimini içerir .
• Win32/Cutwail 15 – Rasgele dosyaları indiren ve çalıştıran bir Truva Atı . ^(Trojan)İndirilen dosyalar diskten yürütülebilir veya doğrudan diğer işlemlere enjekte edilebilir. İndirilen dosyaların işlevselliği değişken olsa da, Cutwail genellikle spam gönderen diğer bileşenleri indirir. Çekirdek modu rootkit kullanır ve bileşenlerini etkilenen kullanıcılardan gizlemek için birkaç aygıt sürücüsü yükler.
• Win32/Rustockbotnet aracılığıyla "spam" e-posta dağıtımına yardımcı olmak için geliştirilmiş,  çok bileşenli, rootkit etkin arka kapı Truva atları^(Trojans) ailesi . Botnet, güvenliği ihlal edilmiş bilgisayarlardan oluşan, saldırgan tarafından kontrol edilen büyük bir ağdır.

Rootkit'lere karşı koruma

Rootkit'lerin yüklenmesini önlemek, rootkit'lerin bulaşmasını önlemenin en etkili yöntemidir. Bunun için anti-virüs ve güvenlik duvarı ürünleri gibi koruyucu teknolojilere yatırım yapmak gerekiyor. Bu tür ürünler, geleneksel imza tabanlı algılama, buluşsal algılama, dinamik ve duyarlı imza yeteneği ve davranış izleme kullanarak korumaya yönelik kapsamlı bir yaklaşım benimsemelidir.

Tüm bu imza setleri, otomatik bir güncelleme mekanizması kullanılarak güncel tutulmalıdır. Microsoft antivirüs çözümleri, etkilenen bir sistemin çekirdeğini değiştirme girişimlerini algılayan ve bunları raporlayan canlı çekirdek davranışı izleme ve gizli sürücülerin tanımlanmasını ve kaldırılmasını kolaylaştıran doğrudan dosya sistemi ayrıştırma dahil olmak üzere, kök kullanıcı takımlarını azaltmak için özel olarak tasarlanmış bir dizi teknolojiyi içerir.

Bir sistemin güvenliği ihlal edilmişse, bilinen iyi veya güvenilir bir ortama önyükleme yapmanıza olanak tanıyan ek bir araç, bazı uygun düzeltme önlemleri önerebileceğinden yararlı olabilir.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

Bu şartlar altında,

1. Bağımsız Sistem Süpürme^{(Standalone System Sweeper)} aracı ( Microsoft Tanılama^{(Diagnostics)} ve Kurtarma Araç^{(Recovery Toolset)} Setinin ( DaRT ) bir parçası )
2. Windows Defender Çevrimdışı^{(Defender Offline)} yararlı olabilir.

Daha fazla bilgi için, PDF^(PDF) raporunu Microsoft İndirme Merkezi'nden^{(Microsoft Download Center.)} indirebilirsiniz .

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is possible to hіde malware in a waу that will fool even the traditional antivirus/antispyware products, most malware progrаms are already using rootkits to hide deep on your Windows PC … and they are getting more dangeroυs! The DL3 rootkit is one of the most advanced rootkits ever seen in the wild. The rootkit was stable and could infеct 32 bit Windows opеrating sуstems; аlthough admіnіstrator rights were needеd to instаll the infeсtion in the ѕystem. But TDL3 has now been updated and is now able to infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Phishing Scams and Attacks Nasıl Kaçınılır?

• Uzak Access Trojan nedir? Önleme, Detection & Removal

• Remove virus USB Flash Drive'dan Command Prompt or Batch File'u kullanma

• Rogue Security Software or Scareware: Nasıl önlemek, kaldır kontrol etmek?

• Win32 nedir: BogEnt ve nasıl kaldırılır?

• Chromium Virus Windows 11/10'dan nasıl kaldırılır

• Windows'den güvenli bir şekilde kaldırmak için IDP.Generic and How nedir?

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Windows 10 kötü amaçlı yazılımlar için Registry nasıl kontrol edilir

• Bilgisayarınızın ASUS Update Malware tarafından enfekte olup olmadığını kontrol edin

• Virüslerden, Casus Yazılımlardan ve Kötü Amaçlı Yazılımlardan Kurtulmanın 3 Yolu

• İpuçları güvenli Windows 11/10 - Nasıl Malware önlemek için

• Uzaktan Administration Tools: Riskler, Threats, Prevention

• Bir computer virus, Trojan, Work, spyware or malware nasıl alabilirsin?

• Bilgisayarınızı Thunderspy attack'e karşı korumak için ipuçları

• Windows 10 içinde PC'nizden Malware çıkarmak Nasıl

• CandyOpen nedir? CandyOpen Windows 10'den nasıl kaldırılır?

• Avast Boot Scan Malware Windows PC'ten kaldırmak için Nasıl kullanılır?

• Fileless Malware Attacks, Protection and Detection

• Land saldırılarından kaç yaşıyorlar? Nasıl Güvende Kalmak?