従来のウイルス対策/スパイウェア対策製品でさえもだます方法でマルウェアを隠すことは可能ですが、ほとんどのマルウェアプログラムはすでにルートキットを使用してWindows PCの奥深くに隠れています…そして、それらはより危険になっています!DL3ルートキットは、これまでに見られた中で最も高度なルートキットの1つです。ルートキットは安定しており、32ビットのWindowsオペレーティングシステムに感染する可能性があります。ただし、システムに感染をインストールするには管理者権限が必要でした。しかし、TDL3が更新され、64ビットバージョンのWindowsにも(even 64-bit versions Windows)感染できるようになりました。
ルートキットとは
ルートキットウイルスはステルスタイプのマルウェア であり、コンピュータ上の特定のプロセスまたはプログラムの存在を通常の検出方法から隠して、それまたは別の悪意のあるプロセスにコンピュータへの特権アクセスを許可するように設計されています。
Windows用のルートキット(Rootkits for Windows)は通常、ウイルス対策プログラムなどから悪意のあるソフトウェアを隠すために使用されます。ウイルス、ワーム、バックドア、スパイウェアによって悪意のある目的で使用されます。ルートキットと組み合わされたウイルスは、フルステルスウイルスとして知られているものを生成します。ルートキットはスパイウェアの分野でより一般的であり、ウイルスの作成者によってもより一般的に使用されるようになっています。
これらは現在、オペレーティングシステムのカーネルを効果的に隠し、直接影響を与える新しいタイプのスーパースパイウェアです。(Super Spyware)これらは、コンピュータ上のトロイの木馬やキーロガーなどの悪意のあるオブジェクトの存在を隠すために使用されます。脅威がルートキットテクノロジーを使用して隠蔽している場合、PC上でマルウェアを見つけることは非常に困難です。
ルートキット自体は危険ではありません。それらの唯一の目的は、ソフトウェアとオペレーティングシステムに残された痕跡を隠すことです。これが通常のソフトウェアであるかマルウェアプログラムであるか。
ルートキット(Rootkit)には基本的に3つの異なるタイプがあります。最初のタイプの「カーネルルートキット(Kernel Rootkits)」は通常、オペレーティングシステムコアの一部に独自のコードを追加しますが、2番目のタイプの「ユーザーモードルートキット(User-mode Rootkits)」は、システムの起動時に正常に起動するWindowsを特に対象としています。または、いわゆる「ドロッパー」によってシステムに注入されます。3番目のタイプは、MBRルートキットまたはブートキットです(MBR Rootkits or Bootkits)。
AntiVirusとAntiSpywareに障害が発生した場合は、(AntiSpyware)優れたAnti-Rootkitユーティリティ(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)を利用する必要があります。Microsoft Sysinternalsの(Microsoft Sysinternals)RootkitRevealerは、高度なルートキット検出ユーティリティです。その出力には、ユーザーモードまたはカーネルモードのルートキットの存在を示す可能性のあるレジストリ(Registry)とファイルシステムAPIの不一致が一覧表示されます。(API)
(Microsoft Malware Protection Center Threat Report)ルートキット(Rootkits)に関する Microsoftマルウェア保護センターの脅威レポート
Microsoft Malware Protection Centerは、(Microsoft Malware Protection Center)ルートキット(Rootkits)に関する脅威レポート(Threat Report)をダウンロードできるようにしました。このレポートでは、今日のマルウェアを脅かす組織や個人の中で最も陰湿なタイプの1つであるルートキットを調べています。このレポートでは、攻撃者がルートキットをどのように使用しているか、および影響を受けるコンピューターでルートキットがどのように機能するかを調べています。初心者向けのルートキット(Rootkits)とは何かから始めて、レポートの要点を以下に示します。
ルートキット(Rootkit)は、攻撃者またはマルウェア作成者が、通常はシステム管理者のために予約されている、公開された/セキュリティで保護されていないシステムを制御するために使用するツールのセットです。近年、「ルートキット」または「ルートキット機能」という用語は、正常なコンピューターに望ましくない影響を与えるように設計されたプログラムであるマルウェアに置き換えられました。(MALWARE –)マルウェアの主な機能は、ユーザーのコンピューターから貴重なデータやその他のリソースを密かに引き出して攻撃者に提供することで、攻撃者が侵入先のコンピューターを完全に制御できるようにすることです。さらに、それらを検出して削除することは困難であり、見過ごされた場合、長期間、場合によっては何年も隠されたままになる可能性があります。
したがって、当然のことながら、結果が致命的であることが判明する前に、侵害されたコンピューターの症状をマスクして考慮する必要があります。特に、攻撃を明らかにするために、より厳格なセキュリティ対策を講じる必要があります。ただし、前述のように、これらのルートキット/マルウェアがインストールされると、そのステルス機能により、ダウンロードする可能性のあるルートキットとそのコンポーネントを削除することが困難になります。このため、Microsoftは(Microsoft)ROOTKITSに関するレポートを作成しました。
16ページのレポートでは、攻撃者がルートキットを使用する方法と、影響を受けるコンピューターでこれらのルートキットがどのように機能するかについて概説しています。
レポートの唯一の目的は、多くの組織、特にコンピューターユーザーを脅かす強力なマルウェアを特定し、綿密に調査することです。また、一般的なマルウェアファミリーのいくつかについても言及し、攻撃者が自分の利己的な目的でこれらのルートキットを正常なシステムにインストールするために使用する方法を明らかにします。レポートの残りの部分では、ユーザーがルートキットからの脅威を軽減するのに役立ついくつかの推奨事項を作成している専門家を見つけることができます。
ルートキットの種類
マルウェアがオペレーティングシステムに自身をインストールできる場所はたくさんあります。したがって、ほとんどの場合、ルートキットのタイプは、実行パスのサブバージョンを実行する場所によって決まります。これも:
- ユーザーモードルートキット
- カーネルモードのルートキット
- MBRルートキット/ブートキット
カーネルモードのルートキット侵害の考えられる影響は、以下のスクリーンショットで示されています。
3番目のタイプは、マスターブートレコード(Master Boot Record)を変更してシステムを制御し、ブートシーケンスの可能な限り早いポイントをロードするプロセスを開始します3。ファイル、レジストリの変更、ネットワーク接続の証拠、およびその存在を示す可能性のあるその他の指標を非表示にします。
ルートキット(Rootkit)機能を使用する注目すべきマルウェア(Malware)ファミリ
- Win32/Sinowal 13 –さまざまなシステムのユーザー名やパスワードなどの機密データを盗もうとするマルウェアのマルチコンポーネントファミリー。これには、さまざまなFTP(FTP)、HTTP、および電子メールアカウントの認証の詳細、およびオンラインバンキングやその他の金融取引に使用される資格情報を盗もうとする試みが含まれます。
- Win32/Cutwail 15 –任意のファイルをダウンロードして実行するトロイの木馬。(Trojan)ダウンロードしたファイルは、ディスクから実行することも、他のプロセスに直接挿入することもできます。ダウンロードされたファイルの機能はさまざまですが、Cutwailは通常、スパムを送信する他のコンポーネントをダウンロードします。カーネルモードのルートキットを使用し、影響を受けるユーザーからコンポーネントを隠すためにいくつかのデバイスドライバーをインストールします。
- Win32/Rustockボットネット(botnet)を介した「スパム」メールの配信を支援するために最初に開発されたルートキット対応のバックドア型トロイの木馬(Trojans) のマルチコンポーネントファミリ。ボットネットは、攻撃者が制御する大規模な侵入先コンピュータのネットワークです。
ルートキットに対する保護
ルートキットのインストールを防ぐことは、ルートキットによる感染を回避するための最も効果的な方法です。このためには、ウイルス対策製品やファイアウォール製品などの保護技術に投資する必要があります。このような製品は、従来のシグニチャベースの検出、ヒューリスティック検出、動的で応答性の高いシグニチャ機能、および動作監視を使用して、保護に包括的なアプローチをとる必要があります。
これらの署名セットはすべて、自動更新メカニズムを使用して最新の状態に保つ必要があります。マイクロソフト(Microsoft)のウイルス対策ソリューションには、影響を受けるシステムのカーネルを変更する試みを検出して報告するライブカーネル動作監視や、非表示のドライバーの識別と削除を容易にする直接ファイルシステム解析など、ルートキットを軽減するために特別に設計された多数のテクノロジが含まれています。
システムが危険にさらされていることが判明した場合は、適切な修復手段を提案する可能性があるため、既知の良好な環境または信頼できる環境で起動できる追加のツールが役立つ場合があります。(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)
そのような状況下で、
- スタンドアロンシステムスイーパー(Standalone System Sweeper)ツール(Microsoft Diagnostics and Recovery Toolset(DaRT )の一部)
- WindowsDefenderオフライン(Defender Offline)が役立つ場合があります。
詳細については、 Microsoftダウンロードセンターから(Microsoft Download Center.)PDFレポートをダウンロードできます。
What is Rootkit? How do Rootkits work? Rootkits explained.
While it is possible to hide malware in a way that will fool even the trаditional antivirus/аntispyware products, most malware programs are already using rootkits to hide deep on your Windows РC … and they are getting more dangerous! The DL3 rootkit is one of the most advanced rootkits ever seen in the wild. The rоotkit was stable and cоuld infect 32 bit Windows operating ѕystems; although administrator rights were needed to install the infection in the system. But TDL3 has now been updated and is now able to infect even 64-bit versions Windows!
What is Rootkit
A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.
Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.
They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.
Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.
There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.
When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.
Microsoft Malware Protection Center Threat Report on Rootkits
Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.
Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.
So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.
The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.
The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.
Types of Rootkits
There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:
- User Mode Rootkits
- Kernel Mode Rootkits
- MBR Rootkits/bootkits
The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.
The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.
Notable Malware families that use Rootkit functionality
- Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
- Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
- Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.
Protection against rootkits
Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.
All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.
If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.
Under such circumstances,
- The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
- Windows Defender Offline may be useful.
For more information, you can download the PDF report from Microsoft Download Center.