در مقاله «روتکیت چیست» خواندیم که Rootkitها چیستند، هکرها چگونه میتوانند آنها را وارد دستگاه ما کنند و انواع آنها کدام است. در این مقاله از وبسایت امنیت اینترنت کنشتک درباره شناسایی روتکیت و نحوه مقابله با آن میخوانیم.
شناسایی روتکیت
تشخیص وجود روتکیت در کامیپوتر و لپتاپ میتواند بسیار مشکل باشد، زیرا این نوع بدافزار برای مخفی شدن طراحی میشود. علاوه بر این روتکیتها میتوانند نرمافزارهای امنیتی مانند آنتیویروس را غیرفعال کنند که در این صورت شناسایی آنها مشکلتر خواهد شد. در نتیجه Rootkit میتواند برای مدت طولانی، بدون اطلاع کاربر، روی دستگاه کاربر بماند و آسیبهای زیادی وارد کند.
علائم احتمالی وجود روتکیت روی دستگاه:
۱- صفحه آبی
سیستم عامل ویندوز شما بصورت مداوم خطاهای ویندوز یا صفحه آبی را نشان میدهد، طوری که باید سیستمعامل را دوباره راهاندازی کنید.
۲- رفتار غیرمعمول مرورگر وب
این میتواند شامل بوکمارکهای عجیب و یا حتی تغییر مسیر (ریدایرکت شدن) لینکها باشد.
۳- کاهش کارایی دستگاه
دستگاه شما زمان بیشتری برای راهاندازی صرف میکند، به سیگنالهای ماوس و کیبرد پاسخ نمیدهد، بصورت مداوم قفل میشود (هنگ میکند، یا فریز میشود).
۴- تغییر تنظیمات ویندوز بدون کسب اجازه
تغییر screensaver، مخفی شدن خودکار نوار وظیفه یا نمایش زمان و تاریخ نادرست – وقتی شما مطمئن هستید که هیچکدام از تغییرات را شما اعمال نکردهاید.
۵- صفحات وب بدرستی کار نمی کنند
صفحات وب یا فعالیتهای شبکه، بدلیل ترافیک بالای شبکه بدرستی کار نمیکنند.
اسکن روتکیت یکی از بهترین روشها برای شناسایی این بدافزار است. اگر فکر میکنید روی دستگاهتان روتکیت نصب شده است، یکی از راههای تشخیص آلوده شدن این است که کامپیوتر را خاموش کنید و از طریق یک سیستم تمییز (Live CD) کامپیوتر را اسکن کنید.
تجزیه و تحلیل رفتاری هم یکی دیگر از راههای شناسایی روتکیت است. بدان معنی است که به جای پیدا کردن روتکیت، دنبال رفتارهایی شبیه روتکیت باشید. در حالیکه میدانید سیستم رفتار غیرمعمولی دارد، اسکن هدفمند نتیجه بهتری بدنبال خواهد داشت. تجزیه و تحلیل رفتاری میتواند قبل از اینکه متوجه شوید مورد حمله قرار گرفتهاید به شما هشدار دهد.
چگونه روتکیت را حذف کنیم؟
حذف روتکیت میتواند فرایند پیچیدهای باشد که به ابزارهای خاصی مانند TDSSKiller نیاز دارد، TDSS میتواند روتکیت را شناسایی و حذف کند. گاهی اوقات برای حذف کامل روتکیت نیاز به پاک کردن سیستمعامل و نصب دوباره آن است.
حذف روتکیت از سیستمعامل ویندوز
سیستمعامل را اسکن کنید، اگر روتکیت در سطح عمیقتری کامپیوتر را آلوده کرده است تنها راه، پاک کردن کامل سیستمعامل و نصب مجدد آن است.
اگر BIOS دستگاه آلوده به روتکیت شده، برای حذف آن دستگاه باید تعمیر شود. اگر بعد از تعمیر همچنان روتکیت روی دستگاه مانده است، باید به فکر دستگاه جدیدی باشید.
حذف روتکیت از سیستمعامل مک
در مورد سیستمعامل مک همیشه با نسخههای جدید دستگاهتان را به روز کنید. بهروزرسانی مک تنها ویژگیهای جدید اضافه نمیکند، آنها بدافزارها از جمله روتکیتها را نیز حذف میکنند. اپل ابزار و ویژگیهای امنیتی داخلی برای محافظت در برابر بدافزار را دارد. با اینحال روی سیستمعامل مک هیچ آشکار ساز روتکیتی وجود ندارد، بهمین دلیل اگر مشکوک به وجود روتکیت روی دستگاهتان هستید، باید سیستمعامل مک را دوباره نصب کنید. اما اگر روتکیت BIOS دستگاه را آلوده کرده باشد باید آن را تعمیر کنید.
چگونه از کامپیوتر در برابر روتکیت محافظت کنیم – پیشگیری بهتر از درمان است
ازآنجاییکه شناسایی و حذف روتکیت از روی دستگاه کار آسانی نیست، بهتر است هشیار باشیم تا این بدافزار روی دستگاه نصب نشود. هنگام مرور وب و نصب انواع نرمافزار احتمال نصب روتکیت روی دستگاهمان وجود دارد. بسیاری از اقدامات محافظتی که در برابر ویروس انجام میدهیم، در به حداقل رساندن تهدید روتکیت نیز کمکمان میکند:
۱- روی دستگاه نرمافزار آنتیویروس و ضد بدافزار امن و بهروز شده نصب کنیم.
۲- سیستمعامل و نرمافزارهای روی آن را بهروز نگاه داریم.
۳- مراقب ایمیلهای فیشینگ و اسپم باشیم.
۴- فایلها، اپلیکیشنها و نرمافزارها را از منابع مورد اعتماد و رسمی دانلود کنیم.
۵- به رفتار و کارایی دستگاهمان دقت کنیم.
https://www.kaspersky.com/resource-center/definitions/what-is-rootkit
