تم توفير Microsoft Malware Protection Center لتنزيل تقرير التهديد على Rootkits. يفحص التقرير أحد الأنواع الخبيثة أكثر من البرامج الضارة التي تهدد المنظمات والأفراد اليوم - الجذور الخفية. يفحص التقرير كيف يستخدم المهاجمون الجذور الخفية ، وكيف تعمل الجذور الخفية على أجهزة الكمبيوتر المتأثرة. هنا هو جوهر التقرير ، بدءا من رووتكيتس - للمبتدئين.

الجذور الخفية هي مجموعة من الأدوات التي يستخدمها المهاجم أو منشئ البرامج الضارة للسيطرة على أي نظام مكشوف / غير آمن والذي عادة ما يكون محجوزًا لمشرف النظام. في السنوات الأخيرة ، تم استبدال مصطلح "ROOTKIT" أو "ROOTKIT FUNCTIONALITY" بـ MALWARE - وهو برنامج مصمم ليكون له تأثيرات غير مرغوب فيها على الكمبيوتر الصحي. تتمثل الوظيفة الرئيسية للبرامج الضارة في سحب البيانات القيمة والموارد الأخرى من جهاز كمبيوتر المستخدم بشكل سري وتزويده بالمهاجم ، ومن ثم منحه التحكم الكامل في الكمبيوتر الذي تعرض للاختراق. وعلاوة على ذلك ، يصعب اكتشافها وإزالتها ويمكن أن تظل مخفية لفترات طويلة ، وربما سنوات ، إذا لم يلاحظها أحد.

لذلك من الطبيعي أن تكون أعراض الكمبيوتر المخترق ملقاة ومراعية قبل أن تثبت النتيجة أنها مميتة. بشكل خاص ، يجب اتخاذ تدابير أمنية أكثر صرامة للكشف عن الهجوم. ولكن ، كما هو مذكور ، وبمجرد تثبيت هذه البرامج الضارة / الخبيثة ، فإن قدراتها الخفية تجعل من الصعب إزالتها ومكوناتها التي قد تقوم بتنزيلها. لهذا السبب ، قامت Microsoft بإنشاء تقرير حول ROOTKITS.

تقرير حماية Microsoft Malware Protection Center على Rootkits

يوضح تقرير 16 صفحة كيف يستخدم المهاجم الجذور الخفية وكيف تعمل هذه الجذور الخفية على أجهزة الكمبيوتر المتأثرة.

الغرض الوحيد من هذا التقرير هو تحديد ودراسة البرامج الضارة القوية التي تهدد العديد من المنظمات ، ومستخدمي الكمبيوتر على وجه الخصوص. ويذكر أيضًا بعض العائلات الخبيثة السائدة ويضع الضوء على الطريقة التي يستخدمها المهاجمون لتثبيت هذه الجذور الخفية لأغراضهم الأنانية على الأنظمة الصحية. في الجزء المتبقي من التقرير ، ستجد خبراء يقدمون بعض التوصيات لمساعدة المستخدمين على تخفيف التهديد من الجذور الخفية.

أنواع الجذور الخفية

هناك العديد من الأماكن التي يمكن لبرنامج ضار تثبيت نفسها في نظام التشغيل. لذلك ، يتم تحديد نوع rootkit في الغالب من خلال موقعه حيث يقوم بتخريب مسار التنفيذ. هذا يشمل:

  1. وضع المستخدم Rootkits
  2. وضع Kernel Rootkits
  3. MBR Rootkits / bootkits

يتم توضيح التأثير المحتمل لحل وسط لـ kernel rootkit عبر لقطة شاشة أدناه.

النوع الثالث ، تعديل سجل التمهيد الرئيسي للتحكم في النظام وبدء عملية تحميل أول نقطة ممكنة في تسلسل التمهيد 3. يخفي الملفات وتعديلات التسجيل والأدلة على اتصالات الشبكة بالإضافة إلى المؤشرات المحتملة الأخرى التي يمكن أن تشير إلى وجودها.

عوائل البرامج الضارة البارزة التي تستخدم وظيفة Rootkit

فيروس Win32 / Sinowal13 - عائلة متعددة المكونات من البرامج الضارة التي تحاول سرقة بيانات حساسة مثل أسماء المستخدمين وكلمات المرور لأنظمة مختلفة. يتضمن ذلك محاولة سرقة تفاصيل المصادقة لمجموعة متنوعة من حسابات FTP و HTTP والبريد الإلكتروني ، فضلاً عن بيانات الاعتماد المستخدمة في المعاملات المصرفية عبر الإنترنت والمعاملات المالية الأخرى.

فيروس Win32 / Cutwail15 - حصان طروادة الذي ينزل وينفذ الملفات التعسفية. قد يتم تنفيذ الملفات التي تم تنزيلها من القرص أو حقنها مباشرة في عمليات أخرى. بينما تكون وظيفة الملفات التي تم تنزيلها متغيرة ، يقوم Cutwail عادةً بتنزيل المكونات الأخرى التي ترسل رسائل غير مرغوب فيها.

ويستخدم rootkit وضع kernel ويقوم بتثبيت العديد من برامج تشغيل الأجهزة لإخفاء مكوناتها من المستخدمين المتأثرين.

فيروس Win32 / Rustock - عائلة متعددة المكونات من أحصنة طروادة المستندة إلى rootkit ، والتي تم تطويرها في البداية للمساعدة في توزيع البريد الإلكتروني "غير المرغوب فيه" عبر الروبوتات. إن الروبوتات هي شبكة كبيرة من أجهزة الكمبيوتر التي يتم اختراقها.

الحماية ضد الجذور الخفية

يعتبر منع تثبيت الجذور الخفية هو الطريقة الأكثر فعالية لتجنب الإصابة بالجذور الخفية. لهذا ، من الضروري الاستثمار في تقنيات الحماية مثل منتجات مكافحة الفيروسات وجدار الحماية. يجب أن تتخذ هذه المنتجات منهجًا شاملاً للحماية باستخدام الكشف التقليدي المستند إلى التوقيع ، والكشف عن الكشف عن مجريات الأمور ، وإمكانية التوقيع الديناميكية والمتجاوبة ورصد السلوك.

يجب تحديث جميع مجموعات التوقيع هذه باستخدام آلية تحديث آلية. تتضمن حلول مكافحة الفيروسات من Microsoft عددًا من التقنيات المصممة خصيصًا للتخفيف من الجذور الخفية ، بما في ذلك مراقبة سلوك النواة الحية التي تكشف عن محاولات تعديل نواة النظام المتأثر وتقارير حولها ، وتحليل نظام الملفات المباشر الذي يسهل تحديد وإزالة برامج التشغيل المخفية.

إذا تم العثور على نظام تم اختراقه ، فقد يكون من المفيد استخدام أداة إضافية تسمح لك بالتمهيد إلى بيئة معروفة جيدة أو موثوق بها حيث قد يقترح بعض تدابير الإصلاح المناسبة.

في ظل هذه الظروف،

  1. أداة Sweeper Standalone System (جزء من Microsoft Diagnostics وأدوات الاسترداد (DaRT)
  2. قد يكون برنامج Windows Defender Offline مفيدًا.

لمزيد من المعلومات ، يمكنك تنزيل تقرير PDF من مركز التنزيل لـ Microsoft.

الوظائف ذات الصلة:

  • قائمة البرمجيات الحرة Rootkit المزيل لويندوز
  • تنزيل McAfee Rootkit Remover لنظام التشغيل Windows
  • بيتدفندر Rootkit المزيل لنظام التشغيل Windows صدر
  • كيفية تأمين عملية التمهيد ويندوز 10
  • ما هو رووتكيت؟ كيف يعمل Rootkits؟ وأوضح Rootkits.

أعلى نصائح:
التعليقات: