A rootkitek csoportjába általánosságban olyan típusú káros kódok tartoznak, amelyek elsődleges feladata, hogy a támadó számára rendszergazdai ─ de legalábbis emelt szintű ─ távoli hozzáférést biztosítsanak a fertőzött rendszerhez, illetve olyan változtatásokat hajtsanak végre, amelyekkel biztosíthatják önmaguk, valamint további káros kódok észrevétlenségét, például a védelmi szoftverek hatástalanításával.
Mi utalhat fertőzésre?
Amennyiben valamilyen káros kódot azonosítottunk a rendszeren feltételezhetjük rootkit jelenlétét is. Emellett bármilyen anomália kapcsán gyanakodhatunk, például intenzív CPU vagy memória használat, megnövekedett internetes forgalom.
Mit tehetünk a fertőzés megelőzéséhez?
- Mindenekelőtt kerüljük az e-mailekben érkező gyanús fájlok és hivatkozások megnyitását, ugyanis ez az egyik leggyakoribb módja a rootkitekkel történő fertőződésnek.
- Tartsuk naprakészen a szoftvereinket és csak megbízható forrásból töltsünk le programokat és fájlokat.
- Használjunk fejlett antivírus szoftvert.
- Alkalmazzunk olyan naplózó rendszert, amely képes riasztást generálni a gyanús hálózati forgalomról.
Ha már megtörtént a baj..
- A rootkitek detektálásához és eltávolításához javasolt speciális rootkit scannerek alkalmazása, amelyekkel érdemes rendszeres időközönként vizsgálatot végezni. Megjegyzendő azonban, hogy ezek csupán az egyik altípus ─ az ún. „user-mode” rootkitek ─ ellen jelenthetnek megoldást.
- Fertőződés esetén javasolt az operációs rendszer teljes újratelepítése, ehhez érdemes már korábban készíteni egy telepítő diszket vagy flash drive-ot.
- A firmware rootkitek ellen sem az operációs rendszer újratelepítése, sem a háttértár cseréje nem nyújt megoldást, mivel ezek az alaplapi memóriából töltődnek be. Szerencsére az ilyen kártevők valós alkalmazása igen ritka, olyannyira, hogy jelen leírás elkészültéig csupán egy regisztrált esetről tudni. Kockázat csökkentő megoldásként javasolt időközönként frissíteni az alaplapi frimware-t.