Cara Mendeteksi Rootkit Dan Menghilangkannya
APA FUNGSI ROOTKIT ?
Faktanya, menginstal rootkit pada mesin berarti memiliki kendali penuh terhadapnya , mampu melakukan operasi apa pun yang diinginkan.
Penting untuk dicatat bahwa jenis operasi terlarang ini juga dapat dilakukan pada ponsel cerdas, karena terdapat rootkit untuk Android dan iOS yang secara khusus dapat menyerang sistem operasi ini.
Antivirus sering kali gagal mendeteksi keberadaan rootkit, sebuah fitur yang menjadikan ancaman ini semakin berbahaya.
Tapi mari kita bahas beberapa bagian.
BAGAIMANA ANDA BISA TERINFEKSI ROOTKIT ?
Metode infeksinya hampir sama dengan metode yang dapat memasukkan virus ke dalam sistem kita : yaitu menjelajahi situs yang tidak aman, mengunduh program dan file dari sumber yang tidak dapat dipercaya, membuka lampiran email yang asalnya meragukan.
Secara umum dan Pada kenyataannya, rootkit dapat menginfeksi sistem kita hanya dengan menghubungkan perangkat USB yang terinfeksi, menggunakan “crack” untuk membuka kunci perangkat lunak atau bahkan sistem operasi.
Mengenai kemungkinan terakhir ini, saya menambahkan beberapa kata hanya untuk tujuan penjelasan, karena di bidang profesional, penggunaan perangkat lunak “crack”, selain ilegal, juga membahayakan stabilitas dan keamanan sistem.
Pemrogram yang membuat perangkat lunak kecil dengan tujuan mengizinkan penggunaan suatu program tanpa hak, menghindari perlindungan salinan atau kebutuhan untuk membeli lisensi untuk digunakan, sering kali diberkahi dengan keterampilan yang luar biasa, karena ia menghindari perlindungan atau permintaan aktivasi. disediakan oleh berbagai software house sama sekali bukan hal yang sepele.
Pada saat membuka aplikasi ini yang berukuran kecil dan berisi instruksi atau modifikasi pada perangkat lunak target yang memungkinkan, seperti disebutkan, untuk menggunakannya tanpa kode akses yangsah, misalnya.
Sekarang, jaminan apa yang kita miliki bahwa selain itu, “retakan” tersebut tidak melakukan hal lain? Itu bisa dengan mudah berisi kode yang dimaksudkan untuk mencoba mendapatkan izin administrator pada komputer host, menginstal apintu belakangmembuka port tertentu, memungkinkan akses jarak jauh dan tidak sadar ke sistem.
Bahkan mengunduh dan menginstal suatu program dapat mengakibatkan instalasi, tanpa sepengetahuan Anda, sebuah rootkit.
Intinya software bisa dimodifikasi untuk menginstal rootkit secara diam-diam, jadi aturannya adalah mendownload software langsung dari situs produsen atau dari mirror yang ditunjukkan dan disertifikasi olehnya.
Beberapa situs menawarkan pengunduhan utilitas dan perangkat lunak terkenal, banyak yang hanya untuk menyediakan layanan, namun beberapa dapat atau dapat menggunakan modalitas ini untuk mendistribusikan program, yang sebenarnya dapat bekerja dengan benar, menambahkan kode yang diperlukan untuk menyerang sistem Anda.
Masalahnya sudah diketahui oleh produsen perangkat lunak, sehingga mereka sering menyarankan untuk memeriksa kode CRC untuk memastikan tidak ada modifikasi yang tidak diinginkan.
CARA MELIHAT ADANYA ROOTKIT
Dalam kasus ini, gejalanya seringkali mirip dengan gejala yang disebabkan oleh adanya virus.
Yang pertama adalah perlambatan komputer atau penjelajahan Internet karena mesin melakukan tugas atau transmisi data “secara paralel” dengan operasi normal yang diperlukan oleh pengguna.
Gejala lain yang oleh dokter disebut patognomonik adalah memperhatikan perubahan dalam pengaturan sistem atau bahkan adanya perangkat lunak yang tidak terduga.
Munculnya BSOD (Layar Biru Kematian), layar error dan crash berwarna biru yang terkenal pada sistem Windows, mungkin merupakan tanda yang tidak boleh dianggap remeh. Faktanya, rootkit, terutama yang bekerja pada level kernel, sangatlah canggih dan kompleks: hal ini dapat menyebabkan crash dan ketidakstabilan sistem karena adanya kesalahan pada kode rootkit itu sendiri.
Perlu diingat bahwa rootkit dapat dengan mudah menonaktifkan atau merusak antivirus Anda .
Tanda lain yang jelas adalah memperhatikan tindakan “otonom” pada PC Anda, seperti ketika, dalam kasus virus atau adware, pop-up atau halaman web terbuka tanpa diminta.
Saran lain yang sedikit lebih “teknis”: biasanya, sistem operasi server, tetapi juga pada tingkat tertentu sistem operasi desktop, melakukan apa yang disebut logging , yaitu mencatat operasi yang dilakukan secara internal. Menganalisis file log adalah cara hebat untuk memverifikasi dan menemukan intrusi ke dalam sistem komputer .
Siapapun yang menyerang sistem komputer juga bisa hapus jejakmu, mengubah atau bahkan menghapus file log, tapi ini juga merupakan petunjuk yang jelas.
Yang lebih mudah diakses oleh pengguna non-spesialis adalah penggunaan perangkat lunak anti-rootkit dan pemindai rootkit (mis.AntiSpy), program yang dibuat khusus untuk mendeteksi modifikasi pada file sistem dan memindai sistem untuk mencari jejak intrusi dan perangkat lunak yang memungkinkan akses eksternal yang tidak diinginkan.
CARA MENGHAPUS ATAU MEMBUAT ROOTKIT TIDAK EFEKTIF
Setelah memeriksa keberadaan rootkit di sistem Anda, tindakan dasarnya adalah mengunduh penghapus rootkit dari web dan menerapkannya.
Biasanya, alat ini menemukan dan menghapus sejumlah jenis rootkit yang diketahui, meskipun Anda harus ingat bahwa kemungkinan besar varian atau rootkit khusus dapat membuat metode ini kurang efektif.
Metode yang lebih teknis adalah dengan menghapus secara manual file yang teridentifikasi atau memulihkan file yang telah diganti oleh rootkit dengan versi aslinya; pikirkan, misalnya, tentang DLL.
Untuk menutup lubang yang dibuat oleh rootkit atau dieksploitasi oleh rootkit, cara terbaik adalah dengan terus memperbarui sistem operasi dan program yang diinstal: banyak kerentanan keamanan dan kemungkinan akses diblokir oleh pembaruan .
Tentu saja, menggunakan sistem operasi yang ketinggalan jaman dan mungkin tidak dapat diperbarui adalah cara terbaik untuk terus menjadi korban virus dan rootkit.
Saya terkadang berbicara dengan orang yang meremehkan aspek ini, menyatakan bahwa komputer tersebut menangani tugas-tugas yang sporadis dan/atau tidak relevan; Ini adalah pendekatan yang sangat berbahaya, bahkan bagi pengguna web lainnya. Kami telah membahasnya di postingan kami:Kami menghilangkan prasangka 4 Mitos Paling Populer tentang Program Antivirus.
Perlu diingat, lebih lanjut, bahwa rootkit sering kali digunakan untuk menginfeksi komputer bukan dengan tujuan mencuri data yang terkandung di dalamnya atau praktik lain yang secara langsung membahayakan perusahaan atau orang yang terkena dampak, namun dengan tujuan mengubah PC menjadi “zombie”. ” untuk digunakan dalamSerangan DDoS.
Serangan Penolakan Layanan Terdistribusi menggunakan sejumlah besar komputer yang tidak terkait secara geografis untuk melakukan serangan konvergen terhadap situs web atau layanan web dengan tujuan membuatnya tidak tersedia.
Oleh karena itu, merupakan tanggung jawab setiap orang untuk tidak menjadi kaki tangan, bahkan jika kita tidak menyadarinya, dalam aktivitas terlarang semacam ini, dengan menjaga sistem kita tetap terlindungi dan diperbarui.
Ide yang yang paling bagus, secara umum, adalah menggunakan firewall, sebaiknya perangkat keras; Banyak rootkit menggunakan akses ke port komunikasi yang sudah ditentukan dan seringkali tidak dapat menggunakan alternatif lain jika port yang sudah ada diblokir oleh pemrograman firewall yang benar.
KESIMPULAN
Rootkit tetap merupakan sebuah risiko, bahkan dengan semua tindakan pencegahan.
Jika ragu atau untuk pemeriksaan, saya sarankan untuk menggunakan, pada tahap verifikasi, beberapa kombinasi program antivirus dan anti-rootkit. Jika “gejala” atau keraguan terus berlanjut, sebaiknya konsultasikan dengan pakar keamanan komputer.