Rootkit avastaja ja hävitaja Rootkit Razor

Tänapäevastest uue põlvkonna kurivarast kirjutatakse paljud selliselt, et viirusetõrjed ei ole suutelised neid avastama. Kui ennevanasti kirjutati viirusi moe ja lõbu pärast, siis nüüd soovitakse nende abil ka kasu- ehk otse väljendudes palju raha teenida – pahavara peab suutma jääma varjatuks avastamise eest, et saaks edukalt varastada kasutajate isiklikke andmeid, pangaparoole jne.

Üheks edukamaks viisiks nakatatud arvutisse peidetuks jääda on Rootkit-tehnoloogia kasutamine. Rootkit on peidetud pahavara, ehk siis nähtamatu protsess või koodijupp (viirus, trooja, klahvivajutuste salvestaja, nuhkvara), mis suudab mööda hiilida viirus- ja nuhkvaratõrjeprogrammidest, salvestub kettale ja hakkab õelvara loojale edastama arvutis leiduvat tundlikku informatsiooni – salasõnadest kuni pangakoodideni välja. Täpsemalt saab sellest lugeda siit ja siit.

Tizerâ„¢ Rootkit Razor pakub rootkit´ide avastamiseks uusimat tehnoloogiat, mida seni veel teised rootkit avastamise tööriistad ei paku. Selle asemel, et otsida rootkite signatuuride järgi, kasutab see lisaks ka heuristilist skanneerimisviisi, mis analüüsib peidetud failide käitumist. Nende hävitamisel ja eemaldamisel samuti ei kahjusta ta süsteemitööd.

Allolevast videost on näha, et samas avastab ta justkui kahtlaste protsesside seast ka tuntud viirusetõrje Avast, ent tuleb arvestada, et failide käitumishäireid analüüsivad heuristilised meetodid võivad sageli ka eksida. Õigem oleks öelda, et sageli just tõrjeprogrammid ise ka peidavad sügavale kernel tasandile oma kaitsemooduleid, mida heuristilene analüüs võib pahalaseks pidada.

Sellistel juhtudel tuleb väga hoolikalt vaadata leitud kirjed üle – mis on tuntud, need rahule jätta, mis aga tundmatud, nende nimetused kasvõi Google otsingusse lüüa ja protsessi kohta rohken infot otsida. Alati leiab niimoodi vastused, kas tegemist on hea või halva tegelasega.

Ülevaade programmist on videos:

Tizersecure.com kodulehel on veel mitmeid teisi häid utiliite, mille tasuks arvutisse tirida.

Nuhtlusest nimega Conficker olen kirjutanud selles artiklis. Tizersecure pakub kõigi Conficker variantide eemaldamiseks abivahendit Tizer’s Conficker Razorâ„¢. Vastavalt operatsioonisüsteemidele Windows XP, 2000 ning Windows 7, Vista on eraldi programmiversioon, valige õige paigaldusfail.

Üsna kasulikuks abivahendiks on ka  Tizerâ„¢ UnLocker, mis aitab kergesti arvutist kustutada sinna lukustatud faile. Tavaliselt visatakse nendel kordadel ekraanile veakoodid:

The file is in use by another program or user.

Cannot delete file: It is being used by another person or program.

Cannot delete folder: It is being used by another person or program.

Cannot delete file: Access denied.

The source or destination file may be in use.

The process cannot access the file because it is being used by another process.

There has been a sharing violation.

Close any programs that might be using the file and try again.

Make sure the disk is not full or write-protected and that the file is not currently in use.

Error deleting file or folder.

Cannot delete file or folder: The file name you specified is not valid or too long. Specify a different file name.

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga