Während es möglich ist, Malware so zu verstecken, dass selbst herkömmliche Antiviren-/Antispyware-Produkte getäuscht werden, verwenden die meisten Malware-Programme bereits Rootkits, um sich tief auf Ihrem Windows -PC zu verstecken … und sie werden immer gefährlicher! Das DL3- Rootkit ist eines der fortschrittlichsten Rootkits, die jemals in freier Wildbahn zu sehen waren. Das Rootkit war stabil und konnte 32-Bit - Windows -Betriebssysteme infizieren; obwohl Administratorrechte erforderlich waren, um die Infektion im System zu installieren. Aber TDL3 wurde jetzt aktualisiert und kann jetzt sogar 64-Bit-Versionen von Windows^{(even 64-bit versions  Windows)} infizieren !

Was ist Rootkit

Ein Rootkit-Virus ist eine heimliche Art von Malware  , die entwickelt wurde, um die Existenz bestimmter Prozesse oder Programme auf Ihrem Computer vor regulären Erkennungsmethoden zu verbergen, um ihm oder einem anderen bösartigen Prozess privilegierten Zugriff auf Ihren Computer zu ermöglichen.

Rootkits für Windows^{(Rootkits for Windows)} werden normalerweise verwendet, um bösartige Software beispielsweise vor einem Antivirenprogramm zu verbergen. Es wird von Viren, Würmern, Hintertüren und Spyware für böswillige Zwecke verwendet. Ein Virus in Kombination mit einem Rootkit erzeugt sogenannte Full-Stealth-Viren. Rootkits sind im Spyware-Bereich häufiger anzutreffen und werden nun auch von Virenautoren immer häufiger verwendet.

Sie sind jetzt eine aufkommende Art von Super-Spyware , die sich effektiv verbirgt und den Kernel des Betriebssystems direkt beeinflusst. Sie werden verwendet, um das Vorhandensein von schädlichen Objekten wie Trojanern oder Keyloggern auf Ihrem Computer zu verbergen. Wenn eine Bedrohung Rootkit-Technologie verwendet, um sich zu verbergen, ist es sehr schwierig, die Malware auf Ihrem PC zu finden.

Rootkits an sich sind nicht gefährlich. Ihr einziger Zweck ist es, Software und die im Betriebssystem hinterlassenen Spuren zu verbergen. Ob es sich dabei um normale Software oder Malware-Programme handelt.

Grundsätzlich gibt es drei verschiedene Arten von Rootkits^(Rootkit) . Die erste Art, die „ Kernel Rootkits “, fügen normalerweise ihren eigenen Code zu Teilen des Betriebssystemkerns hinzu, während die zweite Art, die „ User-Mode Rootkits “, speziell darauf ausgerichtet sind, Windows während des Systemstarts normal zu starten. oder über einen sogenannten „Dropper“ in das System eingespritzt. Der dritte Typ sind MBR-Rootkits oder Bootkits^{(MBR Rootkits or Bootkits)} .

Wenn Sie feststellen, dass Ihr Antivirus-^{(AntiSpyware)} und Antispyware^(AntiVirus) -Programm versagt, müssen Sie möglicherweise die Hilfe eines guten Anti-Rootkit-Dienstprogramms^{(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)} in Anspruch nehmen . RootkitRevealer von Microsoft Sysinternals ist ein fortschrittliches Dienstprogramm zur Erkennung von Rootkits. Seine Ausgabe listet Unstimmigkeiten in der Registrierung^(Registry) und der Dateisystem- API auf, die auf das Vorhandensein eines Benutzermodus- oder Kernelmodus-Rootkits hinweisen können.

Microsoft Malware Protection Center Bedrohungsbericht^{(Microsoft Malware Protection Center Threat Report)} zu  Rootkits

Microsoft Malware Protection Center hat seinen ^{(Microsoft Malware Protection Center)}Threat Report on Rootkits zum Download bereitgestellt . Der Bericht untersucht eine der heimtückischeren Malware-Arten, die heute Unternehmen und Einzelpersonen bedrohen – das Rootkit. Der Bericht untersucht, wie Angreifer Rootkits verwenden und wie Rootkits auf betroffenen Computern funktionieren. Hier ist eine Zusammenfassung des Berichts, beginnend mit dem, was Rootkits sind – für den Anfänger.

Rootkit ist eine Reihe von Tools, die ein Angreifer oder ein Malware-Ersteller verwendet, um die Kontrolle über ein exponiertes/ungesichertes System zu erlangen, das normalerweise einem Systemadministrator vorbehalten ist. In den letzten Jahren wurde der Begriff „ROOTKIT“ oder „ROOTKIT-FUNKTIONALITÄT“ durch MALWARE ersetzt –^{(MALWARE –)} ein Programm, das entwickelt wurde, um unerwünschte Auswirkungen auf einen gesunden Computer zu haben. Die Hauptfunktion von Malware besteht darin, wertvolle Daten und andere Ressourcen heimlich vom Computer eines Benutzers zu entziehen und sie dem Angreifer bereitzustellen, wodurch er die vollständige Kontrolle über den kompromittierten Computer erhält. Darüber hinaus sind sie schwer zu erkennen und zu entfernen und können für längere Zeiträume, möglicherweise Jahre, verborgen bleiben, wenn sie unbemerkt bleiben.

Daher müssen die Symptome eines kompromittierten Computers natürlich maskiert und berücksichtigt werden, bevor sich das Ergebnis als fatal erweist. Insbesondere sollten strengere Sicherheitsmaßnahmen ergriffen werden, um den Angriff aufzudecken. Aber, wie bereits erwähnt, sobald diese Rootkits/Malware installiert sind, erschweren ihre Stealth-Fähigkeiten, sie und ihre Komponenten, die sie herunterladen könnte, zu entfernen. Aus diesem Grund hat Microsoft einen Bericht zu ROOTKITS erstellt^(ROOTKITS) .

Der 16-seitige Bericht beschreibt, wie ein Angreifer Rootkits verwendet und wie diese Rootkits auf betroffenen Computern funktionieren.

Der einzige Zweck des Berichts besteht darin, potenzielle Malware zu identifizieren und genau zu untersuchen, die viele Unternehmen, insbesondere Computerbenutzer, bedroht. Es erwähnt auch einige der vorherrschenden Malware-Familien und bringt die Methode ans Licht, die die Angreifer verwenden, um diese Rootkits für ihre eigenen egoistischen Zwecke auf gesunden Systemen zu installieren. Im Rest des Berichts finden Sie Experten, die einige Empfehlungen aussprechen, um Benutzern zu helfen, die Bedrohung durch Rootkits zu mindern.

Arten von Rootkits

Es gibt viele Orte, an denen sich Malware in einem Betriebssystem installieren kann. Daher wird die Art des Rootkits hauptsächlich durch seinen Standort bestimmt, an dem es seine Untergrabung des Ausführungspfads durchführt. Das beinhaltet:

1. Benutzermodus-Rootkits
2. Kernelmodus-Rootkits
3. MBR-Rootkits/Bootkits

Der mögliche Effekt einer Rootkit-Kompromittierung im Kernel-Modus wird durch einen Screenshot unten veranschaulicht.

Beim dritten Typ wird der Master Boot Record geändert^{(Master Boot Record)} , um die Kontrolle über das System zu erlangen und den Ladevorgang zum frühestmöglichen Zeitpunkt in der Boot-Sequenz zu starten3. Es verbirgt Dateien, Registrierungsänderungen, Hinweise auf Netzwerkverbindungen sowie andere mögliche Indikatoren, die auf seine Anwesenheit hinweisen können.

Bemerkenswerte Malware - Familien, die die Rootkit- Funktionalität verwenden

• Win32/Sinowal 13 – Eine aus mehreren Komponenten bestehende Malware-Familie, die versucht, vertrauliche Daten wie Benutzernamen und Passwörter für verschiedene Systeme zu stehlen. Dazu gehört der Versuch, Authentifizierungsdetails für eine Vielzahl von FTP- , HTTP- und E-Mail-Konten sowie Anmeldeinformationen für Online-Banking und andere Finanztransaktionen zu stehlen.
• Win32/Cutwail 15 – Ein Trojaner^(Trojan) , der beliebige Dateien herunterlädt und ausführt. Die heruntergeladenen Dateien können von der Festplatte ausgeführt oder direkt in andere Prozesse eingefügt werden. Während die Funktionalität der heruntergeladenen Dateien variabel ist, lädt Cutwail normalerweise andere Komponenten herunter, die Spam versenden. Es verwendet ein Rootkit im Kernelmodus und installiert mehrere Gerätetreiber, um seine Komponenten vor betroffenen Benutzern zu verbergen.
• Win32/Rustock  – Eine aus mehreren Komponenten bestehende Familie von Rootkit-fähigen Backdoor- Trojanern^(Trojans) , die ursprünglich entwickelt wurde, um die Verbreitung von „Spam“-E-Mails über ein Botnet zu unterstützen . Ein Botnetz ist ein großes, von Angreifern kontrolliertes Netzwerk kompromittierter Computer.

Schutz vor Rootkits

Das Verhindern der Installation von Rootkits ist die effektivste Methode, um eine Infektion durch Rootkits zu vermeiden. Dafür ist es notwendig, in Schutztechnologien wie Antiviren- und Firewall-Produkte zu investieren. Solche Produkte sollten einen umfassenden Schutzansatz verfolgen, indem sie traditionelle signaturbasierte Erkennung, heuristische Erkennung, dynamische und reaktionsschnelle Signaturfunktionen und Verhaltensüberwachung verwenden.

Alle diese Signatursätze sollten durch einen automatisierten Aktualisierungsmechanismus auf dem neuesten Stand gehalten werden. Antivirenlösungen von Microsoft^(Microsoft) umfassen eine Reihe von Technologien, die speziell zur Abschwächung von Rootkits entwickelt wurden, darunter eine Live-Kernel-Verhaltensüberwachung, die Versuche erkennt und meldet, den Kernel eines betroffenen Systems zu ändern, und eine direkte Analyse des Dateisystems, die die Identifizierung und Entfernung versteckter Treiber erleichtert.

Wenn ein System als kompromittiert befunden wird, kann sich ein zusätzliches Tool als nützlich erweisen, mit dem Sie in einer bekanntermaßen guten oder vertrauenswürdigen Umgebung booten können, da es möglicherweise geeignete Abhilfemaßnahmen vorschlägt.^{(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)}

Unter solchen Umständen,

1. Das Standalone System Sweeper- Tool (Teil des Microsoft Diagnostics and Recovery Toolset ( DaRT )
2. Windows Defender Offline kann nützlich sein.

Für weitere Informationen können Sie den PDF -Bericht aus dem Microsoft Download Center herunterladen.^{(Microsoft Download Center.)}

What is Rootkit? How do Rootkits work? Rootkits explained.

While it is possible to hidе malware in a way thаt will fool even the traditional antivirus/antispyware produсts, most malwаre programs are already using rootkits to hide deep on your Windows PC … and thеy are getting more dangerous! Τhe DL3 rootkit is one of the most advanced rootkits еver seen in the wild. The rootkit was stable and could infect 32 bit Windows opеrating systems; although administrator rights were needed to install the infection in the system. But TDL3 has now been updated and is now able to infect even 64-bit versions  Windows!

What is Rootkit

A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.

Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.

They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.

Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.

There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.

When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

Microsoft Malware Protection Center Threat Report on Rootkits

Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.

Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.

So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.

The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.

The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.

Types of Rootkits

There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:

1. User Mode Rootkits
2. Kernel Mode Rootkits
3. MBR Rootkits/bootkits

The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.

The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.

Notable Malware families that use Rootkit functionality

• Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
• Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
• Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.

Protection against rootkits

Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.

All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.

If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.

Under such circumstances,

1. The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline may be useful.

For more information, you can download the PDF report from Microsoft Download Center.

Related posts

• Wie vermeidet man Phishing-Betrug und -Angriffe?

• Was ist ein RAS-Trojaner? Prävention, Erkennung und Entfernung

• Entfernen Sie den Virus vom USB-Flash-Laufwerk mit der Eingabeaufforderung oder der Stapeldatei

• Rogue Security Software oder Scareware: Wie überprüfen, verhindern, entfernen?

• Was ist Win32:BogEnt und wie wird es entfernt?

• Wie identifiziert Microsoft Malware und potenziell unerwünschte Anwendungen

• Remoteverwaltungstools: Risiken, Bedrohungen, Prävention

• Browser-Hijacking und kostenlose Tools zum Entfernen von Browser-Hijackern

• Microsoft Windows Logo-Prozess im Task-Manager; Ist es ein Virus?

• Die besten Viren- und Malware-Scanner, die GARANTIERT jeden Virus eliminieren

• So entfernen Sie Malware von einem Android-Telefon

• Übermittlung von Malware: Wo können Malware-Dateien an Microsoft und andere übermittelt werden?

• Crystal Security ist ein kostenloses Cloud-basiertes Malware-Erkennungstool für den PC

• Beste kostenlose Software zum Entfernen von Spyware und Malware

• Dateilose Malware-Angriffe, Schutz und Erkennung

• Was sind Living Off The Land-Angriffe? Wie bleibe ich sicher?

• Was ist FileRepMalware? Sollten Sie es entfernen?

• Kostenlose Tools zum Entfernen von Malware zum Entfernen bestimmter Viren in Windows 11/10

• Was ist Cyberkriminalität? Wie man damit umgeht?

• Beste Online-Online-Malware-Scanner zum Scannen einer Datei