Removing Spyware and Malware from a Windows PC Using Spybot Search and Destroy
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]
Analysere en rootkit er vanligvis en kvelds jobb for noen med Boldewins tekniske ferdigheter. Med Rustock.C tok det seg imidlertid dager til å finne ut hvordan programvaren fungerte.
Fordi det er så vanskelig å få øye på, mener Boldewin, en sikkerhetsforsker med tysk IT-leverandør GAD, at Rustock.C hadde eksistert i nesten et år før antivirusprodukter begynte å oppdage det.
Dette er historien med rootkits. De er sneaky. Men er de en stor trussel?I slutten av 2005 oppdaget Mark Russinovich den mest berømte rotkiten. En windows sikkerhetsekspert, Russinovich, ble forvirret en dag da han oppdaget en rootkit på sin PC. Etter litt sleuthing oppdaget han til slutt at kopibeskyttet programvare som ble brukt av Sony BMG Music Entertainment, faktisk brukte rootkit-teknikker til å skjule seg på datamaskiner. Sony's programvare ble ikke designet for å gjøre noe ondsinnet, men det var nesten uoppdagelig og ekstremt vanskelig å fjerne.
Sonys rootkit ble en stor PR-katastrofe for selskapet, som brukte millioner i juridiske bosetninger med brukere som var berørt av programvaren.
Tre år senere anser Russinovich, en teknisk medarbeider med Microsoft, det rootkit som forårsaket mest mulig problemer for datautbrukerne.
Men Sony rootkit har også hatt problemer med antivirusleverandørene. Det faktum at ingen av dem selv hadde lagt merke til denne programvaren i omtrent et år var et seriøst svart øye for sikkerhetsbransjen. Selv om de startet på Unix-maskiner år tidligere, da Sony fiasco var, ble rootkits vurdert den neste store trusselen mot antivirusleverandører. Sikkerhetsforskere undersøkte bruken av virtualiseringsteknologi for å skjule rootkits og diskutert om en helt uoppdagelig rotkit kunne opprettes en dag.
Men Russinovich sier nå at rootkits ikke har levd opp til sin hype. "De er ikke så utbredt som alle forventet dem å være," sa han i et intervju.
"Malware virker i dag veldig forskjellig fra når rotkit-rasen pågikk," sa han. "Da vil malware kaste popups over hele skrivebordet ditt og ta over nettleseren din. I dag ser vi en helt annen type malware."
Dagens malware løper stille i bakgrunnen, spamming eller hosting sine ekkel nettsteder uten offer som noensinne ser hva som skjer. Ironisk nok, selv om de er bygd for å unngå deteksjon, er de mest sofistikerte kjerne-nivå rootkits ofte så utrolig påtrengende at de trekker oppmerksomhet mot seg selv, sier sikkerhetseksperter.
"Det er ekstremt vanskelig å skrive kode for kjernen din som ikke krasj datamaskinen din, "sa Alfred Huger, visepresident for Symantecs sikkerhetsrespons. "Programvaren kan gå på noen andre ganske enkelt."
Huger er enig i at mens rootkits fortsatt er et problem for Unix-brukere, er de ikke utbredt på Windows-PCer.
Rootkits utgjør langt mindre enn 1 prosent av alt forsøket på infeksjoner som Symantec sporer i disse dager. Som for Rustock.C, til tross for all sin tekniske raffinement, har Symantec bare oppdaget det i det hele tatt 300 ganger.
"På hele malware-spekteret er det et veldig lite stykke, og det er av begrenset risiko i dag," sa Huger.
Ikke alle er enige om Symantecs funn, men. Thierry Zoller, direktør for produktsikkerhet med n.runs, sier at Rustock.C ble distribuert mye via det beryktede russiske bedriftsnettverket, og at infeksjoner er mest sannsynlig i titusenvis.
"Rootkits ble brukt til å holde tilgang til en kompromitterte mål så lenge som mulig og aldri hatt målet om å bli spredt utbredt, sa han i et intervju som ble gjennomført via direktemeldinger.
Til slutt kan kriminelle unngår rotkits av en veldig enkel grunn: De gjør det bare ikke trenger dem.
I stedet for å bruke snikende rootkit-teknikker har hackere i stedet utviklet nye teknikker for å gjøre det vanskelig for antivirusleverandører å fortelle forskjellen mellom deres programvare og legitime programmer. For eksempel gjør de tusenvis av forskjellige versjoner av et ondsinnet program, og kaster opp koden hver gang slik at antivirusprodukter har det vanskelig å se det.
I andre halvår 2007 spore Symantec nesten en halv million Nye typer ondsinnet kode, opp 136 prosent fra første halvår. Sikkerhetseksperter sier at denne situasjonen er enda verre i 2008.
"Det som ikke er så komplisert, er ikke så komplisert," sier Greg Hoglund, konsernsjef for HBGary, et selskap som selger programvare for å hjelpe kundene med å reagere på datamaskininntrengninger. "Det meste av malware som er der ute i dag … prøver ikke engang å skjule."
For eksempel ble en av HB Garys kunder nylig rammet av et målrettet angrep. De onde gutta visste nøyaktig hva de ville, og etter at de hadde gått inn i nettverket, swiped informasjonen før selskapets hendelsesresponssteam kunne komme dit, sa Hoglund. "Det var veldig klart at angriperne visste at de ville komme seg unna dataene så raskt at de ikke engang måtte skjule."
Den nye varianten, kalt Conficker B ++, ble oppdaget for tre dager siden av SRI International forskere, som publiserte detaljer om den nye koden på Torsdag. Til det uopplærte øynet ser den nye varianten nesten ut som den tidligere versjonen av ormen Conficker B. Men B ++-varianten bruker nye teknikker for å laste ned programvare, noe som gir sine skapere mer fleksibilitet i hva de kan gjøre med infiserte maskiner.
Conficker-infiserte maskiner kan brukes til ekkel ting - sende spam, logging tastetrykk eller lansere avslag på tjenesten (DoS), men en ad hoc-gruppe som kaller seg Conficker Cabal, har i stor grad forhindret at dette skjer. De har holdt Conficker under kontroll ved å knekke algoritmen som programvaren bruker til å finne en av tusenvis av rendezvous poeng på Internett der den kan lete etter ny kode. Disse rendezvous-poengene bruker unike domenenavn, for eksempel pwulrrog.org, at Conficker Cabal
Microsoft Office er den mest populære tekstbehandlingsserien rundt når det gjelder å generere dokumenter. Men mange mennesker er helt uvitende om at hver gang du åpner et dokument, skriver du inn det, redigerer det, lukker det eller gjør noe annet enn å puste på det. Personlig identifiserende data som heter "metadata" samles inn og festes til dokumentet . Opplysning av denne informasjonen kan være svært skadelig i visse situasjoner, så det lønner seg å bruke ekstra minutter før du send
For dokumentmetadata renere skal du fortelle plasseringen av de aktuelle filene. Bare bla til deres plassering på datamaskinen din. Du kan også velge hvilken type fil du vil rydde.
Vi har brukt mye elektronisk blekk som forteller deg å unngå billige laserskrivere, fordi de er alle tregte, med sparsomme funksjoner og verste av alt, veldig dyrt toner. Vi anbefaler nesten det samme om $ 280 (per 25 mars 2013) Dell C1760nw-fargelaserskriver (den bruker LED-teknologi), men det har en ting å gjøre for det: imponerende grafikkvalitet, som er utfordrende å finne på hvilken som helst kontorfargelaserskriver til enhver prispunkt. Velg denne over resten, hvis du må, men du vil kanskj
C1760nws tolinjers LCD-skjerm og kontrollknappene er minimal, men effektive. Menystrukturen er pent lagt ut, noe som gjør det enkelt å finne alternativer. Et blått lys rett over kontrollene indikerer statusen for Wi-Fi-tilkoblinger. Du kan også administrere skriveren via Wi-Fi eller Ethernet ved hjelp av enhetens HTML-konfigurasjonsgrensesnitt. I tillegg til PC- og Mac-drivere tilbyr C1760nw funksjoner for ekstern utskrift, inkludert utskrift fra mobilenheter og via e-post.