مقالاتمنتخب سردبیر

روت‌کیت (RootKit) یک بدافزار تقریباً غیر قابل شناسایی

روت‌کیت (RootKit) بد افزاری است که تقریبا غیرقابل شناسایی است اما هنوز هم می‌توانید به مقابله با آن پرداخته، در برابرش بایستید و از اینکه کنترل سیستم رایانه شما را در دست گیرد جلوگیری کنید.

“روت‌کیت” یکی از سرسخت‌ترین انواع بدافزارهای مخرب می‌باشد که تشخیص، شناسایی و حذف آن بسیار دشوار است. هکرهای مخرب اغلب از آن‌ها برای استراق­ سمع بر روی رایانه شخصی شما استفاده می‌کنند، درست مانند “کی‌لاگرها” (keylogger)، و یا از طریق بات‌نت و تهدیدات مشابه، به کنترل از راه دور رایانه شما می‌پردازند.

روت کیت، یک نوع بدخیم تروجان است و می‌تواند علاوه بر اطلاعات شخصی شما، بر عملکرد رایانه‌تان نیز به‌شدت تأثیر بگذارد.

اما یک روت‌کیت (RootKit) دقیقاً چیست؟

روت کیت (RootKit) از دو بخش “root” و “kit” تشکیل شده که از اصطلاحات سیستم‌عامل‌های لینوکس/یونیکس هستند، جایی که “root” معادل مدیریت ویندوز است، در حالی که “kits” نرم‌افزار طراحی شده برای کنترل مدیریت (administrator) و یا root یک رایانه شخصی، بدون اطلاع کاربر و صاحب آن می‌باشد.

هنگامی‌که یک روت کیت، خود را بر روی کامپیوتر شما نصب می‌کند، هم‌زمان با روشن شدن کامپیوتر، راه‌اندازی می‌شود. علاوه بر این، با دسترسی به ادمین رایانه، می‌تواند هر کاری را که بر روی دستگاهتان اعمال می‌کنید ردیابی کرده، ترافیک شما را اسکن کند، هر برنامه‌ای را که بخواهد بدون رضایت و اطلاع شما نصب کند، منابع رایانه‌ای را به سرقت ببرد و یا آن را در یک “بات‌نت” (botnet) قرار دهد.

متأسفانه، همان‌طور که پیش‌تر اشاره شد، شناسایی روت‌کیت‌ها بسیار دشوار است، زیرا آن‌ها توانایی پنهان‌سازی بسیاری از فرایندها را دارند. آن‌ها این کار را هم برای خود روت کیت و هم برای سایر بدافزارهای مخرب انجام می‌دهند. پس برای حذف آن‌ها، نیاز به یک آنتی‌ویروس عالی و قدرتمند، همچنین یک اسکنر و حذف‌کننده تخصصی روت‌کیت است.

نحوه گسترش روت‌کیت‌ها

در یک نگاه خوش‌بینانه، روت‌کیت‌ها در نهایت امر برنامه‌های رایانه‌ای هستند درست مثل هر برنامه دیگری که به‌منظور نصب و راه‌اندازی، باید اجرا شوند.

روت‌کیت‌ها معمولاً از سه قسمت تشکیل شده‌اند: (Dropper) بخشی از ویروس است که خود حاوی آلودگی خاصی نیست اما وظیفه‌اش نصب کد آلوده بر روی دستگاه قربانی می‌باشد، بار‌گذار (Loader) و خودِ روت‌کیت (roo‌tkit).

drop‌per یک برنامه یا فایل اجرایی است که روت‌کیت را نصب می‌کند. احتمالاً شما این برنامه را از طریق یک پیوست در یک ایمیل فیشینگ مشکوک یا از طریق یک دانلود مخرب از وب‌سایتی عجیب و غریب یا ناشناخته گرفته باشید.

لزوماً dro‌pper یک برنامه اجرایی نیست و ممکن است به شکل‌های دیگری نیز وارد عمل شود. فایل‌هایی مانند فایل‌های PDF و اسناد متنی ورد می‌توانند برای نصب و راه‌اندازی روت‌کیت طراحی شده باشند تا در صورت باز شدن به‌صورت خودکار شروع به نصب روت‌کیت کنند و اگر این مرحله انجام شود، دیگر خیلی دیر شده است.

آلودگی به روت‌کیت می‌تواند حتی از یک سند PDF یا فایل متنی Word ساده شروع شود.

با توجه به این مسئله، اگر درباره چیزهایی که در اینترنت جستجو می‌کنید و حتی بیشتر از آن درباره برنامه‌هایی که نصب می‌کنید بی‌توجه باشید، تقریباً آلودگی شما به روت‌کیت قطعی است. تبهکاران سایبری در مورد نحوه پنهان کردن بدافزارهای مخرب خود می‌توانند کاملاً خلاقانه و مبتکرانه عمل کنند.

گاهی اوقات شما با یک روت‌کیت آلوده می‌شوید که از منابع قانونی و مشروع آمده است. در سال ۱۳۸۳،  شرکت سونی ۲۲ میلیون لوح فشرده را به فروش رساند که روت‌کیت را بر روی رایانه نصب می‌کرد و همه تلاش خود را برای بهبود حفاظت از کپی و ایمنی حقوق دیجیتال در موزیک موجود بر روی دیسک انجام داد.

در سال ۱۳۹۴، شرکت «لنوو» (Lenovo) از روت‌کیت‌ها برای نصب مجدد نرم‌افزار حذف شده بر روی کامپیوترهای فروخته‌شده خود و به‌منظور “‌ارسال اطلاعات قابل شناسایی و غیرشخصی در سیستم به سرورهای شرکت لنوو” استفاده کرد.

این روش‌های تجاری نه‌تنها تهاجمی و غیراخلاقی هستند، بلکه حضور آن‌ها یک تهدید امنیتی سایبری است؛ زیرا می‌توان آن‌ها را ربوده و برای مقاصد دیگری غیر از آنچه که برایش در نظر گرفته شده‌اند استفاده کرد.

انواع ویروس‌های روت‌کیت

میزان آلودگی به روت‌کیت می‌تواند بسته به عمق و پیچیدگی آن در سیستم اندازه‌گیری شود.

روت‌کیت روت‌کیت روت‌کیت (RootKit) یک بدافزار تقریباً غیر قابل شناسایی P124

آلودگی در حلقه ۳ نسبتاً سطحی است، زیرا این بخش تنها برنامه‌هایی مانند «آفیس» (Microsoft Office) ، «فتوشاپ» (Photoshop) یا دیگر نرم‌افزارهای مشابه را آلوده می‌کند.

حلقه ۱ و ۲ لایه‌های عمیق‌تری مانند درایورهای کارت گرافیک ویدئویی یا سیستم صوتی شما هستند.

در عین حال، حلقه ۰، سیستم‌عامل پایه را هدف قرار می‌دهد که هر چیز دیگری مانند «بایوس» (BIOS) یا «سیماس» (CMOS) را کنترل می‌کند. از آنجا که این بخش عمیق‌ترین و سخت‌ترین بخش به جهت حذف این ویروس به شمار می‌رود، یک آنتی‌ویروس (که عمدتاً در حلقه ۳ عمل می‌کند)، دسترسی کامل به حلقه ۱ را ندارد.

روت‌کیت هسته یا کرنل (kernel)

روت‌کیت‌های کرنل باعث تغییر در عملکرد سیستم‌عاملتان می‌شوند. این نوع روت‌کیت‌ها معمولاً کد خود را و گاهی ساختارهای داده‌ خود‌ را به بخشی از هسته سیستم‌عامل می‌افزایند ‌که از آن به نام کرنل یاد می‌شود‌. ایجاد یک روت‌کیت تقریباً کاری پیچیده است، و اگر این کار نادرست انجام شود، تأثیری شدید بر عملکرد سیستم می‌گذارد. خبر خوب این است که تشخیص بیشتر روت‌کیت‌های کرنل نسبت به دیگر انواع آن ساده‌تر است.

روت‌کیت‌های کرنل قطعه‌ای پیشرفته و پیچیده از بدافزارهای مخرب هستند و برای ایجاد یکی از آن‌ها، به دانش فنی پیشرفته‌ای نیاز است. اگر روت‌کیت دارای باگ‌ها و اشکالات نرم‌افزاری متعددی باشد، این کار به‌شدت بر عملکرد رایانه تأثیر می‌گذارد.

در نگاهی خوش‌بینانه، شناسایی یک روت‌کیت کرنل دارای باگ آسان‌تر است زیرا پس از نصب و راه‌اندازی آن، ردیفی از سرنخ‌ها و ر‌د پاها را برای یک آنتی‌ویروس یا ضد روت‌کیت به‌جا می‌گذارد.

روت‌کیت سخت‌افزار

روت‌کیت‌های سخت‌افزار به‌جای هدف قرار دادن سیستم‌عامل، به سراغ نرم‌افزاری که بر روی اجزای سخت‌افزاری خاصی اجرا می‌شوند، می‌روند. در سال ۱۳۸۸، یک گروه تبهکار اروپایی موفق به آلوده کردن کارت‌خوان‌ها با استفاده از یک روت‌کیت سخت‌افزاری شدند. این امر به آن‌ها اجازه داد تا اطلاعات کارت اعتباری را به دست آورده و به خارج از کشور ارسال کنند.

این روت‌کیت توانست خودش را در هارد دیسک رایانه قربانی پنهان کند، سپس در هر یک از داده‌های نوشته شده بر روی دیسک مداخله کند.

روت‌کیت مجازی یا هایپروایزر (Hypervizor)

روت‌کیت‌های مجازی یک نوع توسعه یافته و جدید در میان روت‌کیت‌ها هستند که از تکنولوژی‌های نوینی استفاده می‌کنند. محققان امنیتی نخستین روت‌کیت را با اثبات این مفهوم ، در سال ۱۳۸۶ توسعه دادند که بسیار قدرتمندتر از سایر روت‌کیت‌هاست.

یک روت‌کیت هسته به‌طور هم‌زمان به عنوان سیستم‌عامل بوت می‌شود، اما یک‌روت کیت مجازی ابتدا خودش بوت و راه‌اندازی می‌شود، یک ماشین مجازی ایجاد می‌کند و تنها پس از آن، سیستم‌عامل را راه‌اندازی می‌کند.

برای درک بهتر این موضوع، روت‌کیت و فرآیند راه‌اندازی آن را مثل دوتا جعبه تصور کنید.

  • در روت‌کیت هسته، اولین جعبه فرایند بوت شدن است. روت‌کیت، جعبه دوم است که به داخل جعبه اول می‌رود.
  • در روت‌کیت مجازی، اولین جعبه خودِ روت‌کیت است. فرآیند بوت شدن، جعبه دوم است که در جعبه اول قرار دارد.

روت‌کیت مجازی یا هایپروایزر (Hypervizor) روت‌کیت روت‌کیت (RootKit) یک بدافزار تقریباً غیر قابل شناسایی P125

روت کیت‌های مجازی نسبت به روت کیت‌های هسته، کنترل بیشتری بر سیستم شما دارند و چون خیلی عمیق خود را درون دستگاه دفن و پنهان می‌کنند، حذف و خلاص شدن از شر آن‌ها می‌تواند تقریباً غیرممکن باشد.

روت‌کیت بوت لودِر (Bootloader Rootkit) یا ‌بوت‌کیت‌ (Bootkit)

این نوع از روت‌کیت هم‌زمان با راه‌اندازی سیستم‌عامل شما بوت می‌شود و رکورد راه‌انداز اصلی (MBR) (بخشی اصلی که به کامپیوتر شما می‌آموزد چگونه سیستم‌عامل را لود کند) یا رکورد راه‌انداز حجم (VBR) را آلوده می‌کند.

این نوع از روت‌کیت به دلیل اینکه، خودش را به رکوردهای راه‌انداز ذکرشده در بالا متصل می‌کند، در نمای سیستم فایل استاندارد نمایش داده نخواهد شد. در نتیجه، نرم‌افزارهای آنتی‌ویروس و ضد روت‌کیت برای شناسایی این بدافزار، دچار مشکل خواهند شد.

حتی بدتر از همه این‌ها، ممکن است روت‌کیت رکوردهای بوت را تغییر داده و با حذف آن‌ها، رایانه شما با خطر آسیب جدی مواجه شود.

روت کیت حافظه

«روت‌کیت‌های حافظه» (Memory Ro‌otkit) خود را در حافظه «رَم» (RAM) کامپیوتر شما پنهان می‌کنند. این نمونه نیز مانند روت‌کیت‌های هسته، می‌تواند با اشغال منابع، عملکرد حافظه رَم رایانه شما را با تمام فرایندهای مخرب کاهش دهد.

روت‌کیت‌های کاربردی و یا حالت کاربری (user-mode)

«روت‌کیت‌های کاربردی» بسیار ساده‌تر و راحت‌تر از روت کیت‌های هسته یا بوت‌کیت‌های قابل شناسایی عمل می‌کنند. به این دلیل که آن‌ها در داخل یک برنامه کاربردی و نه فایل‌های حیاتی سیستم خود را مخفی می‌کنند.

به عبارتی دیگر، آن‌ها در سطح برنامه‌ها و نرم‌افزارهای استانداردی مانند رنگ‌آمیزی (Paint)، وُرد (Word)، بازی‌های رایانه‌ای و‌… عمل می‌کنند، بدان معنی که یک آنتی‌ویروس خوب یا ضد روت‌کیت احتمالاً بدافزار را پیدا خواهد کرد و سپس آن را حذف خواهد نمود.

خانواده‌های روت‌کیت

اکثر مجرمان سایبری بدافزارهای مخرب جدیدی را کد‌نویسی نمی‌کنند، بلکه فقط از برنامه‌های مخرب موجود استفاده می‌کنند. اغلب اوقات، برخی تنظیماتی را بر روی روت‌کیت اعمال می‌کنند و بعضی از متخصصان ماهر هم کدهای مخرب خود را اضافه می‌کنند. به این مقوله «اقتصاد بدافزار» می‌گویند.

درست مانند اقتصاد واقعی، برخی از بدافزارها سهم بازار بیشتری نسبت به دیگران دارند. در این بخش، می‌خواهیم برخی از خانواده‌های گسترده‌تر روت‌کیت را پوشش دهیم و بررسی کنیم.

اگر به‌اندازه کافی شانس نیاوردید و از بخت بدتان با روت‌کیت آلوده شدید، به احتمال زیاد یکی از این نمونه‌ها خواهد بود.

روت‌کیت زیرو اکسس (zeroaccess)  یا “دسترسی صفر”

این روت‌کیت مسئول ایجاد یک بات‌نت زیرو اکسس است، که منابع رایانه شما را درست به مانند یک معدن برای استخراج بیت‌کوین‌های موردنیازش تبدیل می‌کند و یا شما را به کلیک بر ایمیل‌های تبلیغاتی فریبنده تشویق می‌کند.

محققان امنیتی تخمین زده‌اند که بات‌نتِ  زیرو اکسس ۱ الی ۲ میلیون کامپیوتر را شامل شده است. بخش بزرگی از این رایانه‌ها، توسط مایکروسافت و همچنین سایر شرکت‌های امنیتی و سازمان‌های مربوطه از دور خارج‌ شده‌اند.

این نوع از روت‌کیت‌ها هر چند به نسبت گذشته، تهدید آنچنانی نیستند، ولی هنوز هم انواع «روت‌کیت‌های زیرو اکسس» در سراسر فضای مجازی در دسترس هستند و استفاده می‌شوند.

روت کیت TDSS / Alureon / TDL

زمانی تصور می‌شد که بات‌نت بر اساس «روت‌کیت TDSS»، دومین نمونه بزرگ از این نوع در جهان باشد. پس از اجرای اقداماتی قانونی، نتایجی حاصل شد و بات‌نت به دوره خاموشی خود وارد شد.

این قضیه تا حدی تأثیرگذار و الهام‌بخش بود که در تلاش برای مقابله با بات‌نت، حتی شرکت «کسپرسکی» (Kaspersky)، مدتی پس از آن نام برنامه حذف‌کننده روت‌کیت خود را «TDSSKiller» نام‌گذاری کرد.

با این حال، کدهای مخرب هنوز در فضای مجازی وجود دارند و به طور فعال استفاده می‌شوند. برخلاف روت‌کیت زیرو اکسس؛ TDSS به دنبال شکار اطلاعات شخصی شما مانند داده‌های کارت اعتباری، حساب‌های بانکی آنلاین، گذرواژه‌ها، شماره امنیت اجتماعی و … است.

روت‌کیت «نکیورس» (Necurs)

روت‌کیت «نکیورس»، در حال حاضر یکی از بزرگ‌ترین بات‌نت‌های فعال در سراسر جهان می‌باشد و در حال گسترش هرزنامه‌های باج افزار لاکی (Locky) و بدافزار مالی «دریدکس» (Dridex) است.

روت‌کیت «نکیورس» (Necurs)، از دیگر انواع بدافزارهای مخرب محافظت می‌کند و یک کامپیوتر را چنان در چنگال بات‌نت گرفتار می‌کند و تحت کنترل می‌گیرد که شما اطمینان حاصل کنید آلودگی پیش‌آمده دیگر قابل حذف و برطرف شدن نیست.

برخلاف روت‌کیت‌های TDSS و زیرو اکسس، «نکیورس» یک بات‌‌نت فعال است و تبهکاران سایبری در پشت پرده آن در تلاش برای رشد آن‌ها هستند.

اسکنرهایی برای شناسایی و نابودی روت‌کیت‌ها

جستجوی روت‌کیت روت‌کیت روت‌کیت (RootKit) یک بدافزار تقریباً غیر قابل شناسایی P126

برنامه‌های آنتی‌ویروس زمان زیادی را با زحمت و دشواری بسیار صرف می‌کنند تا یک روت‌کیت پیشرفته را پیدا کنند زیرا اساساً برای این‌جور کارها طراحی نشده‌اند. بنابراین بهتر است از یک آشکارکننده یا اسکنر مخصوص روت کیت استفاده کنید.

در اینجا می‌بینیم که این اسکنرها و حذف‌کننده‌های روت‌کیت چه ‌کارهایی را در این زمینه می‌توانند انجام دهند:

از HitmanPro برای اسکن روت کیت استفاده کنید.

HitmanPro دومین اسکنرِ بدافزار رایج با قابلیت‌هایی گسترده می‌باشد. این اسکنر می‌تواند روت‌کیت‌هایی را پیدا و حذف کند که آنتی‌ویروس آن‌ها را نادیده گرفته است.

خوشبختانه برنامه HitmanPro دارای رابط کاربری ساده و یک فایل نصب کننده کوچک است. این نرم‌افزار نیز در ابتدا به‌صورت نسخه تریال (Trial Version) یا با محدودیت زمانی نصب می‌شود یعنی برای ۳۰ روز رایگان است و پس از آن شما مجبور به خرید مجوز کامل نرم‌افزار خواهید بود.

Norton Power Eraser یک برنامه ضدِ روت‌کیت مفید است

Norton Power Eraser یک ابزار امنیتی رایگان ارائه شده توسط «نورتون» (Norton) است. قابلیت اسکنِ ترافیک آن بالاتر از حد متوسط ​​است، اما گرایشی بیش از حد به تهاجمی بودن دارد. به این ترتیب، احتمال بالقوه‌ای برای نمایش نتایج مثبت کاذب توسط این برنامه وجود دارد، بنابراین هنگام استفاده از آن، بسیار محتاط باشید.

رابط کاربری آن نسبتاً ساده است. اگر می‌خواهید مطمئن شوید که این برنامه در حال اسکن کردن روت کیت‌ها نیز می‌باشد یا خیر، ابتدا به «تنظیمات» بروید و مطمئن شوید که گزینه «Include Roo‌tkit Scan» را تیک زده باشید.

UnHackMe نرم‌افزاری با قابلیت تشخیص روت‌کیت

یک نرم‌افزار اشتراک‌گذاری با قابلیت‌های نظارت است، به این معنی که هر زمان که یک روت‌کیت را در تلاش برای هک کردن و باز کردن راه خود به کامپیوتر شما تشخیص دهد، می‌تواند در این مورد هشدار داده و شما را باخبر کند. این نرم‌افزار نیز در ابتدا به‌صورت نسخه تریال (Trial Version) یا با محدودیت زمانی نصب می‌شود یعنی برای ۳۰ روز رایگان است و پس از آن شما مجبور به خرید مجوز کامل نرم‌افزار خواهید بود.

اگر شما فقط می‌خواهید اسکن‌های استاندارد و معمولی را انجام دهید، رابط کاربری نسبتاً ساده این نرم‌افزار برایتان کافی خواهد بود، اما اگر شما یک کاربر با تجربه‌تر هستید، رفته رفته و به‌تدریج، قابلیت‌های اضافی بسیار زیادی، مانند حذف کلید رجیستری، ارسال نتایج و ذخیره آن‌ها به عنوان یک فایل متنی با فرمت TXT و یا غیرفعال کردن آتوران (autorun) برنامه‌ها را در آن خواهید دید.

GMER یک روت‌کیت یاب به تمام معنا می‌باشد

احتمالاً شما هرگز در مورد این برنامه چیزی نشنیده‌اید، اما برای معرفی آن همین کافی است که بگوییم آن‌قدر خوب بود که باعث شد به عنوان بخش ضد روت‌کیت آنتی‌ویروس معروف «آواست!» (!Avast) در نرم‌افزار «آواست! آنتی روت‌کیت» (Avest! Antirootkit) قرار داده شود.

اما قضیه تنها این نبود؛ بلکه آن‌قدر کار نرم‌افزار GMER در پیداکردن و از بین بردن روت‌کیت‌ها و اثرات مخرب آن‌ها خوب بوده که حتی مجرمان سایبری حملات دیداس (DDoS) را علیه سایت میزبانِ GMER انجام دادند تا کاربران نتوانند آن را دانلود کنند.

‌حمله ddos یا dos مخفف (denial of service attack) به زبان ساده یعنی سرازیر کردن تقاضاهای زیاد به یک سرور (کامپیوتر قربانی یا هدف) و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود.

اما هکرهای مخرب در همین حد کار خود را متوقف نکرده‌اند بلکه به‌منظور مبارزه و متوقف کردن GMER، روت‌کیت‌هایی برای شناسایی GMER طراحی شده‌اند و از ابتدای کار از فعال شدن آن جلوگیری می‌کنند. اگر زمانی این اتفاق برای شما رخ داد، خیلی ساده کافیست فایل را به iexplorer.exe تغییر نام دهید تا روت‌کیت را فریب دهید.

GMER، به همان اندازه که مؤثر و کارآمد است، نیاز به دانش کامپیوتری بسیار پیشرفته‌ای دارد تا از جنبه‌ها و قابلیت‌های مؤثر خودش استفاده کند، زیرا شما باید پروسه های مخرب را به درستی شناسایی کنید.

نکته مهم در اینجا این است که GMER در شناسایی روت‌کیت‌ها و نه در حذف آن‌ها بسیار عالی است، بنابراین به احتمال زیاد شما در کنار آن نیاز به یک حذف‌کننده اختصاصی روت‌کیت نیز خواهید داشت.

اگر شما فقط یک کاربر معمولی هستید، به‌شدت توصیه می‌کنیم از ویژگی اسکن استفاده کنید و نتایج آزمایشی را ذخیره کنید. بعداً می‌توانید این نتایج را به یک انجمن تخصصی امنیت سایبری برای مشاوره تخصصی ارسال نمایید.

شکارچی رایانه‌های شخصی (PCHunter)

ابزاری دیگر برای کاربرانی که از لحاظ فنی مهارت بیشتری دارند. PCHunter می‌تواند اطلاعات زیادی در مورد کارهای درونی کامپیوتر شما مانند پروسه‌ها و ثبت‌های رجیستری ارائه دهد.

با این حال، مانند GMER، هنگام استفاده از آن باید دو برابر حالت معمولی محتاط باشید، در غیر این صورت ممکن است آسیب‌های ناخواسته‌ای را به سیستم‌عامل و رایانه خودتان وارد نمایید.

Kaspersky TDSSKiller (کشنده روت کیت TDSS کسپرسکی)

Kaspersky TDSSKiller یک شکارچی قدیمی روت‌کیت است اما هنوز هم جواب می‌دهد. همان‌گونه که از نام این برنامه پیداست، توسط «لابراتوار کسپرسکی» (Kaspersky Lab) و برای حذف خانواده TDSS و ‌Aileron از روت‌کیت‌ها توسعه یافته و قابلیت آن برای تمیز کردن سایر روت‌کیت‌ها نیز گسترش ‌یافته است.

متأسفانه، کسپرسکی آنرا به طور مداوم آپدیت و به‌روز نکرده است، اما هنوز هم در حذف و برطرف نمودن آلودگی به روت‌کیت مؤثر و کارآمد است.

از یک آنتی‌ویروس خوب برای حذف روت‌کیت از رایانه خود استفاده کنید

در گذشته، توسعه‌دهندگان آنتی‌ویروس‌ها، ابزارهای جداگانه‌ای برای حذف روت‌کیت‌ها داشتند. با گذشت زمان، این ابزارها و قابلیت‌ها در محصولات جدید به آنتی‌ویروس اصلی خود متصل شده‌اند. چنین سرنوشتی در روت‌کیت‌یابهای معروف توسعه‌دهندگانی از قبیل Avast، AVG و دیگر توسعه‌دهندگان اتفاق افتاد و به تدریج همه‌گیر شد.

یک آنتی‌ویروس خوب می‌تواند تمام تفاوت‌های محسوس در حذف روت‌کیت را ایجاد کند.

فرایند حذف روت‌کیت

در این مقاله، تا به اینجا ما تمام اصول اساسی و اطلاعات مهم را پوشش داده‌ایم و به آن‌ها پرداخته‌ایم، اما دقیقاً چگونه شما یک روت‌کیت را حذف می‌کنید؟

در ابتدا، همان‌طور که قبلاً نیز گفته شد، روت‌کیت‌ها در زمینه حذف و پاک شدن از کامپیوترها سرسخت‌ترین و دشوارترین انواع بدافزارهای مخرب هستند.

از این‌رو، هیچ یک از روش‌های زیر در تعمیر و پاک‌سازی رایانه شما از شر روت‌کیت‌ها ۱۰۰٪ تضمین‌شده نیستند.

قبل از هر چیز، از همه اطلاعات و داده‌های مهم خود، یک نسخه پشتیبان تهیه کنید

نیازی به گفتن نیست که چگونه ممکن است روت‌کیت به شروع فرآیند حذف از جانب شما واکنش نشان دهد. محتمل‌ترین حالت این است که ممکن است یک روت‌کیت اقدامات دفاعی داشته باشد که در چنین مواقعی با استفاده از آن، اطلاعات رایانه شما را پاک کند یا آن را کاملاً غیرقابل استفاده نماید.

ممکن است از خودتان بپرسید «آیا احتمال دارد که روت‌کیت نسخه پشتیبان را نیز آلوده کند؟». بله، ممکن است‌ و پاسخ این سؤال مثبت خواهد بود.

روت‌کیت و بدافزارهای مخرب، دیگر فایل‌ها را بر روی کامپیوتر شما آلوده نمی‌کنند، به این معنی که آن‌ها یک فایل متنی یا تصویری را که قبلاً پاک‌سازی و رفع آلودگی شده است را دوباره آلوده نمی‌کنند، بنابراین سیستم شما کاملاً ایمن خواهد بود مگر اینکه از خود روت‌کیت و بدافزارها نیز پشتیبان گیری کنید.

کامپیوتر خود را در حالت ایمن با قابلیت اتصال به شبکه بوت کنید

برخی از روت‌کیت‌ها ممکن است سعی کنند از نصب یک محصول یا نرم‌افزار امنیتی جلوگیری کنند یا اقداماتی را برای حذف آن انجام دهند. اگر این اتفاق رخ بدهد، باید رایانه خود را در حالت ایمن با قابلیت اتصال به شبکه (Safe Mode with Networking) راه‌اندازی مجدد (Restart) نمایید تا از این طریق دسترسی روت‌کیت را محدود کند.

برای راه‌اندازی کامپیوتر خود در حالت ایمن با قابلیت اتصال به شبکه، باید کلید F8 را در صفحه راه‌انداز ویندوز بفشارید.

با استفاده از ابزارهای مختلف وجود روت‌کیت‌ها را اسکن نمایید

خانواده‌های روت‌کیت زیادی وجود دارند مانند TDSS، Aileron یا ZeroAccess. اگرچه هیچ اسکنر روت‌کیتی که بتواند همه آن‌ها را پیدا کند وجود ندارد، اما با استفاده از ترکیبی از اسکنرهای اجرایی و آن‌هایی که به طور بالقوه کاربران تقاضای آن‌ها را دارند، شما می‌توانید قدرت یک اسکنر را با ضعف دیگری همپوشانی کنید.

به همین دلیل توصیه می‌کنیم از همه این اسکنرها استفاده کنید:

  • Kaspersky TDSS Killer
  • UnHackMe
  • Norton Power Erase، با ذکر این نکته مهم که کمی در مورد تشخیص مثبت کاذب توسط این اسکنر، محتاطانه عمل کنید.

یکی دیگر از برنامه‌هایی که پیشنهاد می‌کنیم آن را نصب کنید “ضد روت کیت مالوربایتس” (Malwarebytes Antirootkit) است. این برنامه علاوه بر اینکه قادر به اسکن و حذف هر نوع روت کیتی می‌باشد، دارای یک ویژگی بسیار مفید است که باعث برطرف شدن آسیب‌های روت‌کیت به سیستم‌عامل ویندوز شما می‌شود.

با استفاده از Rkill هر نوع بدافزار بجای مانده از روت‌کیت‌ها را متوقف کنید

صرفاً حذف یک روت‌کیت، پاک‌سازی کامل رایانه شخصی شما را تضمین نمی‌کند. احتمالاً روت‌کیت با انواع دیگر بدافزارهایی که هنوز فعال هستند وارد سیستم شما شده است و شاید هم برای مقاومت در برابر فرآیند حذف بدافزارهای مخرب طراحی شده است.

به همین دلیل توصیه می‌کنیم از Rkill برای متوقف کردن هرگونه فرایندهای مربوط به بدافزار استفاده کنید، بنابراین برنامه‌های حذف بدافزارهای مخرب می‌توانند وارد عمل شده و رایانه شما را نجات دهند.

نکته مهم: پس از استفاده از Rkill، کامپیوتر خود را مجدداً راه‌اندازی نکنید چرا که ممکن است بدافزار بعد از بوت‌آپ دوباره رایانه؛ باز هم راه‌اندازی شود.

rkill برای مقابله با روت‌کیت ها روت‌کیت روت‌کیت (RootKit) یک بدافزار تقریباً غیر قابل شناسایی P127 1024x550

از ضد بدافزار Malwarebytes ‌و HitmanPro استفاده کنید تا بدافزارهای بجای مانده را پاک کنید

به طور معمول این برنامه‌ها به‌صورت نسخه‌های قابل‌فروش منتشر می‌شوند، اما در ابتدا می‌توانید نسخه تریال و یا ۳۰ روزه آن‌ها را نیز نصب کنید که پس از خریداری کامل آن، تمامی قابلیت‌های این بدافزارها برای استفاده در دسترس قرار می‌گیرند.

Mal‌warebytes Anti-Malware نرم‌افزار حذف بدافزارهای مخرب عمومی است، در حالی که HitmanPro در رده دوم اسکنرهای بدافزار رایج و کارآمد قرار دارد.‌

تا به اینجا، کامپیوتر شما باید در نهایت تمیزی و عاری از بدافزارهای مخرب باشد. اما اگر نوع خاصی از روت‌کیت که در بایوس (BIOS) یا سخت‌افزار رایانه شما پنهان می‌شود رایانه شما را مورد حمله قرار داده باشد، همه‌چیز ممکن است پیچیده شود و کارتان سخت‌تر از این‌ها باشد.

استفاده از Malwarebytes ‌و HitmanPro برای حذف بدافزارها روت‌کیت روت‌کیت (RootKit) یک بدافزار تقریباً غیر قابل شناسایی P128

اگر یک روت‌کیت درگیر با بایوس یا سخت‌افزار دارید چه‌کاری بایستی انجام دهید

اگر آن‌قدر شما بدشانس بوده‌اید که از طریق یک روت‌کیت بایوس یا سخت‌افزار آلوده شده باشید، شانس اینکه فرایند حذف بدافزارهای مخرب توسط ضد روت‌کیت‌های استاندارد قابل انجام باشد کمتر خواهد بود.

در این شرایط، بهترین گزینه شما این است که یک حمله اتمی را به روت کیت شروع کنید. این به این معنی است که شما باید اطلاعات خود را کاملاً پاک کنید، سپس سیستم‌عامل رایانه را مجدداً نصب کنید.

روت‌کیت درگیر با بایوس یا سخت‌افزار روت‌کیت روت‌کیت (RootKit) یک بدافزار تقریباً غیر قابل شناسایی P129

چگونه یک ویندوز را تمیز و بدون هرگونه بدافزار نصب کنیم

قبل از اینکه درایو خود را فرمت کرده و پاک کنید، مطمئن شوید که از هر فایل و اسناد مهمی که ممکن است آن‌ها را نیاز داشته باشید یک نسخه پشتیبان گرفته‌اید.

سپس، مطمئن شوید که عملیات پاک کردن را به طور کامل انجام داده‌اید. این کار به آن آسانی که به نظر می‌رسد نیست، زیرا وقتی شما کلید ترکیبی” Delete + Clear Recycle Bin ” را برای پاک کردن فایل‌ها می‌زنید، در حقیقت ویندوز همه اطلاعات شما را پاک نمی‌کند.

اگر گرفتار آلودگی به روت‌کیت از نوع بایوس شده‌اید، چه کاری باید انجام دهید؟

روت‌کیت بایوس، احتمالاً بدترین نوع آلودگی است که ممکن است شما گرفتارش شوید. (به‌استثنای روت‌کیت مجازی، که بحث آن کاملاً جداگانه است).

در این مواقع، بدترین بدشانسی که ممکن است بیاورید این است که حتی پاک کردن کامل و نصب مجدد ویندوز قادر به حذف روت‌کیت بایوس نباشد.

بهترین اقدام ممکن در این مواقع این است که درایو بایوس را فلش کنید. این بدان معنی است که شما به طور مؤثر نرم‌افزار بایوس را پاک کرده و یک نوع جدیدش را نصب‌ کنید.

ممکن است قبل از شروع به هر کاری، نیاز به یک ریست (Reset) دستی باشد. احتمال بالایی وجود دارد که روت‌کیت دارای یک ابزار دفاعی باشد که از فلش یا نصب مجدد بایوس توسط شما جلوگیری کند. به همین دلیل توصیه می‌کنیم از تنظیمات سخت‌افزاری برای حذف تنظیمات بایوس استفاده کنید.نمی‌توان مطمئن بود اما شاید همین کار روت‌کیت را کاملاً حذف نماید.

چگونه از آلوده شدن به روت‌کیت جلوگیری کنیم

آلودگی به روت‌کیت ممکن است مشکل‌زا و بسیار مقاوم باشد، اما در نهایت آن‌ها فقط برنامه‌هایی مانند بسیاری از انواع دیگر بدافزارهای مخرب هستند. این بدان معنی است که آن‌ها فقط پس از اینکه شما به نحوی برنامه‌های مخرب راه‌انداز روت‌کیت را اجرا کردید کامپیوتر شما را آلوده می‌کنند.

در اینجا برخی از اقدامات اساسی که باید دنبال کنید تا مطمئن شوید که شما با یک روت‌کیت آلوده مواجه نیستید را معرفی می‌کنیم و در نتیجه از همه این مراحل حوصله سر بر و وقت‌گیر برای از بین بردن روت‌کیت اجتناب کنید.

مراقب حملات فیشینگ (Phishing) و یا اسپیر فیشینگ (Spear Phishing) باشید

فیشینگ (Phishing) یکی از رایج‌ترین روش‌ها برای آلوده کردن رایانه افراد قربانی با بدافزارهای مخرب است. هکرهای مخرب به راحتی لیست بزرگ‌تری را از ایمیل‌های فیشینگ با پیام‌هایی طراحی می‌کنند تا از این طریق شما را به کلیک بر روی یک لینک یا بازکردن یک فایل پیوست شده به آن هدایت و ترغیب کنند.

اسپیر فیشینگ (Spear phish‌ing attack) یکی از گسترده‌ترین حملات سازمان‌دهی شده به مراکز، ارگان‌ها و شرکت‌های معتبر است که بنا بر ماهیت پیچیده اجرایی، به طور معمول توسط هکرهای کارآزموده و نفوذگران متصل به باندهای تبهکار سازمان یافته شده، طراحی و اجرا می‌شود. هدف نهایی از برنامه‌ریزی و اجرایی کردن چنین حملاتی، کسب دسترسی غیرمجاز به اطلاعات حساس و طبقه‌بندی شده، و یا به سرقت بردن اسرار صنعتی و نظامی (Industrial espionage) است.

یک پیام جعلی می‌تواند شامل هر چیزی باشد؛ از پیام شاهزاده نیجریه گرفته که برای پس گرفتن طلای خودش درخواست کمک دارد! تا یک پیام جعلی از گوگل که بسیار دقیق و خوب ساخته شده و از شما درخواست دارد که اطلاعات ورود به سیستم و حساب کاربری خودتان را به‌روز رسانی کنید!

پیوست یک ایمیل می‌تواند هر چیزی باشد، مانند یک سند متنی وُرد (Word) یا اِکسِل (Excel)، یک فایل اجرایی برنامه (.exe) معمولی یا یک فایل تصویری با فرمت JPEG آلوده.

نرم‌افزار خود را به طور مرتب به‌روزرسانی کنید

نرم‌افزارهای قدیمی  و یا به‌روز نشده یکی از بزرگ‌ترین عوامل بروز آلودگی‌های مخرب هستند. مانند هر ساخت و آفرینش دیگری که انسان انجام می‌دهد، برنامه‌های نرم‌افزاری نیز نهایتاً در طراحی خود ممکن است دچار نقص‌هایی باشند، به این معنی که آن‌ها با بسیاری از باگ‌ها و آسیب‌پذیری‌هایی منتشر می‌شوند که هکرهای مخرب از آن‌ها برای نفوذ و خرابکاری سوءاستفاده می‌کنند.

به همین دلیل، آپدیت و به‌روز نگه‌داشتن نرم‌افزار در همه زمان‌ها یکی از بهترین چیزهایی است که می‌توانید برای حفظ امنیت در اینترنت و فضای مجازی انجام دهید و از نفوذ هکرهای مخرب جلوگیری کنید تا نتوانند شما را با بدافزارهای مخرب آلوده کنند.

از آنجا که به‌روز رسانی نرم‌افزار شما می‌تواند چنین کاری را انجام دهد، توصیه می‌کنیم از یک برنامه خودکار برای انجام این کار استفاده کنید.

از یک آنتی‌ویروس خوب استفاده کنید

نرم‌افزارهای آنتی‌ویروس اخیراً دوران خوبی را سپری نکرده‌اند چرا که «نسل دوم بدافزارها» با بسیاری از قابلیت‌های دفاعی نظیر مبهم نگه‌داشتن خود، مانع تشخیص درست مشکل و شناسایی آن‌ها توسط آنتی‌ویروس‌ها شده‌اند.

با این وجود، آنتی‌ویروس هنوز ارزش واقعی برای مبارزه با بدافزارهای مخرب را به ارمغان می‌آورد و هر کاربری که برایش امنیت در اولویت باشد، نباید از فرصتی که آنتی‌ویروس‌ها برای ایمن کردن رایانه‌ها ایجاد می‌کنند صرف‌نظر نماید.

فیلتر کردن ترافیک

راه‌حل فیلتر کردن ترافیک می‌تواند چنان مؤثر و کارآمد باشد که حتی فرصت لمس کردن کامپیوتر شما را هم به یک بدافزار ندهد.

یک نقص مهم آنتی‌ویروس این است که قبل از اینکه مؤثر و کارآمد عمل کند، بدافزار کامپیوتر شما را آلوده کرده است.

از سوی دیگر، نرم‌افزار فیلتر کردن ترافیک، ترافیک ورودی و خروجی شما را اسکن می‌کند تا مطمئن شود که هیچ برنامه بدافزاری بر روی کامپیوتر شما وارد نمی‌شود و همچنین از نشت و ارسال اطلاعات خصوصی و محرمانه به هر گیرنده مشکوکی جلوگیری می‌کند.

نتیجه‌گیری

روت‌کیت‌ها یکی از پیچیده‌ترین و ماندگارترین انواع تهدیدات مخرب موجود در فضای مجازی هستند. لازم نیست دوباره حرف‌های گذشته را تکرار کنیم اما به طور خلاصه می‌گوییم، اگر حتی فلش کردن بایوس قادر به حذف روت‌کیت نیست، ممکن است مجبور شوید که چنین کامپیوتری را از بین ببرید و فقط ببینید که کدام یک از اجزای سخت‌افزاری می‌تواند دوباره مورد استفاده قرار گیرد.

همانند هر چیز دیگری در زندگی واقعی، بهترین درمان برای آلودگی به روت‌کیت‌ این است که از وقوع آن جلوگیری شود. به عبارت دیگر، همیشه پیشگیری بهترین درمان است.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن
بستن