Rootkit ehk käomuna on selline tarkvara, mis toimetab arvutis juurkasutaja (ehk administraatori) õigustes, tavaliselt operatsioonisüsteemi tuuma tasandil, hiilides niiviisi mööda operatsioonisüsteemi turvamehhanismidest. Tavaliselt jääb käomuna protsessitabelis kajastamata ning sageli ka arvuti seaduslikul kasutajal märkamata. Rootkit võib esineda mõne programmiohjuri või tuuma moodulina, luua endale võltsitud alglaadimissektori või kasutada mõnd muud kavalat tehnikat. Tuntuim käomuna oli Sony multimeediafailide kopeerimiskaitsemehhanism, mis peitis end sügavale operatsioonisüsteemi ning mida oli tõsiselt tülikas eemaldada. Samasuguseid peitemehhanisme kasutab aga ka mitmesugune pahavara, kindlustades selle, et tema olemasolu jääb nii kasutajal kui viirustõrjel märkamata.
-
- Get FREE threat intelligence on hackers and exploits with the Recorded Future Cyber Daily 15. aprill 2021
- White House launches plan to protect US critical infrastructure against cyber attacks 15. aprill 2021
- Smashing Security podcast #223: Booze, nudes, and insurance dudes 14. aprill 2021
- School janitor says she was fired for not installing smartphone tracking app 14. aprill 2021
- Ransomware attack causes supermarket cheese shortage in the Netherlands 13. aprill 2021
- A helpful reminder about just how much Facebook stalks you on the internet 13. aprill 2021
- Upstox warns of serious data breach, resets passwords 12. aprill 2021
- Get FREE threat intelligence on hackers and exploits with the Recorded Future Cyber Daily 8. aprill 2021
- Smashing Security podcast #222: Facebook, deepfakes, and April Fools scandals – with Nina Schick 8. aprill 2021
- A new headache for ransomware-hit companies. Extortionists emailing your customers 7. aprill 2021
- US sanctions cryptocurrency addresses linked to Russian cyberactivities 18. aprill 2021
- Google is adding its Dinosaur Game as an iPhone widget 17. aprill 2021
- Twitter is suffering from another worldwide outage today 17. aprill 2021
- Microsoft fixes Windows 10 bug that can corrupt NTFS drives 17. aprill 2021
- Ryuk ransomware operation updates hacking techniques 17. aprill 2021
- Google Chrome's new feature lets you easily share selected text 17. aprill 2021
- Major BGP leak disrupts thousands of networks globally 17. aprill 2021
- The Week in Ransomware - April 16th 2021 - The Houston Rockets 16. aprill 2021
- SysAdmin of Billion-Dollar Hacking Group Gets 10-Year Sentence 17. aprill 2021
- What are the different roles within cybersecurity? 17. aprill 2021
- Severe Bugs Reported in EtherNet/IP Stack for Industrial Systems 16. aprill 2021
- US Sanctions Russia and Expels 10 Diplomats Over SolarWinds Cyberattack 16. aprill 2021
- 1-Click Hack Found in Popular Desktop Apps — Check If You're Using Them 15. aprill 2021
- Malware Variants: More Sophisticated, Prevalent and Evolving in 2021 15. aprill 2021
- YIKES! Hackers flood the web with 100,000 pages offering malicious PDFs 15. aprill 2021
- New WhatsApp Bugs Could've Let Attackers Hack Your Phone Remotely 15. aprill 2021
- NSA Discovers New Vulnerabilities Affecting Microsoft Exchange Servers 15. aprill 2021
- New JavaScript Exploit Can Now Carry Out DDR4 Rowhammer Attacks 14. aprill 2021
- A hacker claims to be selling sensitive data from OTP generating firm 16. aprill 2021
- 1-click code execution vulnerabilities in popular software apps 16. aprill 2021
- 2021 and Emerging Cybersecurity Threats 15. aprill 2021
- SolarWinds Hack – US officially Blames Russian Intel Agency Hackers 15. aprill 2021
- ParkMobile parking app data breach – 21M user records stolen, sold 15. aprill 2021
- Unpatched MS Exchange servers hit by cryptojacking malware 14. aprill 2021
- Indian supply-chain giant Bizongo exposed 643GB of sensitive data 14. aprill 2021
- FBI accessing computers across US to remove malicious web shells 14. aprill 2021
- Researcher release PoC exploit for 0-day in Chrome, Edge, Brave, Opera 13. aprill 2021
- ShinyHunters dump partial database of broker firm Upstox 12. aprill 2021
-
Kontakt
- Arvutikaitse.ee internetisaiti haldab MTÜ Arvutikaitse. Peatoimetaja Aare Kirna aare[ät]arvutikaitse.ee Tel. 526 6710
Kes selle “käomuna” vaste nüüd välja mõtles? Ega Vallaste poolt pakutav “juurkomplekt” ka muidugi suurt parem pole. Kas poleks mitte arusaadavam ja mõistlikum jääda algse versiooni juurde?
Mina mõtlesin.
Just nimelt sellepärast, et ei rootkit ega juurkomplekt anna kuigi head pilti sellest, kuidas too asjandus toimib.
Ja ei hakka siin heietama omakeelse arvutiterminoloogia mittevajalikkusest!
No tule eila meile. Sel juhul sooviks ma, et passwordi nimetataks edaspidi – pääsusõnaks. Salasõna ta ju ometi ei ole?! Ma ei salasta ju oma meilikontole sissepääsu ära vaid pääsen selle sõna abil sinna sisse.
Ei ole mõtet hakata tõesti eesti keelt risustama…
Oh jummel küll, kui ikka tahetakse viriseda, siis on see võimalus alati olemas…Tee ise midagi, ära vingu!
Meil on täieline demokraatia.
Kui Sinu soovitatud pääsusõna ka asjaomastes ringkondades sooja vastuvõtu ja laialdase kasutuse leiab, olen minagi nõus seda igapäevaselt tarvitama 🙂
ISO 2382 – infotehnoloogia sõnastik
Password = parool e. pääsufraas
Eestikeelse oskussõnavara olemasolu ja arendamise vajalikkus on juba usuküsimus 🙂
Tere,
kuna ei leidnud teie lehelt foorumit ja ka küsimuste esitamise süsteemist ei saa hästi aru (st kuidas ja kellele neid esitada), panen oma küsimuse siia.
AVG Anti-Rootkit leidis arvutist sellise asja:
C:\WINDOWS\System32\Drivers\a6xi0jsk.sys
Kui seda eemaldama hakata, ilmub karm hoiatus, kuidas mu arvuti võib lakata töötamast jms. Mis fail see selline võiks olla? Kas tõeline pahalane või mitte? Kas võib selle rahulikult kustutada? Kui see aga on pahalane, siis mida ta võib korda saata?
ette tänades
A.
Kas F-Secure Blacklight ka sellest failist midagi arvas?
f-secure blacklight ei leidnud seda faili ega ka midagi muud kahtlast.
Samas arvuti on viimasel ajal aeglasem, kui varem. Ka käivitumine võtab varasemast rohkem aega. Avast ja AVG anti-spyware pole aga midagi leidnud. Uuendan neid kogu aeg. Ka tulemüür on arvutil olemas (sygate).
Näib, nagu midagi võõrast oleks arvutis. Aga kindel ei ole. Kahtlus on esialgu sellel failil, mida anti-rootkit leidis. Kuna pole it-maailmas päris kodus, siis ei julge sellise hoiatuse peale päris hästi kustutada.
selgus, et igal arvuti käivitamisel faili nimi muutub. Asukoht (system32\drivers) jääb samaks. Kas selline asi võib pahalastele omane olla? Või võivad ka arvuti enda failid oma nime muuta?
Kui otsida seda faili search-iga, siis ei leita midagi.
Kuidas nüüd teada saada, mis see on? Või kustutada lihtsalt ära, riskides sellega, et pärast mõni asi ei tööta?
—
Muide, kas olete mõelnud arvutikaitse.ee-s millegi foorumilaadse loomise peale, kus saaks just arvutikaitsega seotud probleeme arutada?
lugupidamisega
A.
Käitumise järgi otsustades võib pahalasega tegemist olla küll. Enne kustutamist laske siiski igaks juhuks oma arvuti mõnel asjatundjal üle vaadata.
Foorumi peale oleme mõelnud, kuid hetkel ei ole meil veel kindlat seisukohta, kuidas seda kõige efektiivsemalt rämpspostitustest puhtana hoida.
teen nüüd väikse kokkuvõtte võitlusest oletatava pahalasega.
Kustutasin nimetatud kahtlase faili ära. Aga … see ei kadunud kuhugi! AVG Anti-rootkit ei suuda seda kustutada, kuigi raporteerib, et töö on tehtud. Arvuti uuesti käivitamisel ja uuesti kontrollides on see alles, uue nimega siis ( .sys lõpuga).
Proovisin seda leida siin lehel soovitatud SuperAntiSpyware-ga, kuid see programm ei leia midagi, nagu ka F-secure Blacklight.
Samas, nagu eespool mainisin, Search-funktsioon seda faili arvutist ei leia ja ei leidu seda ka windows\system32\drivers\ kausta failide nimestikus (kus Anti-rootkit seda väidab olevat).
Seoses sellega tekkis päris mitmeid küsimusi.
– Kas tavalistel, programmi koosseisu kuuluvatel failidel on kombeks end niimoodi peita?
– Kas pahalaste otsimise programmid võivad kuidagi üle reageerida, st näidata pahalasena mõnd faili, mis seda tegelikult ei ole?
– Lugesin ülaltoodud artikli läbi, kuid ei saa ikkagi hästi aru, mida see administraatoriõigustes tegutsemine tavakasutaja jaoks tähendab? Mida ta administreerib? Kas ta jälgib ka suhtlust, salasõnu, võtab mõne teise arvutiga ühendust, kasutab minu arvutit hüppelauana? Veel midagi?
– Mida teha, kui ei õnnestu leitud pahalast kõrvaldada? Kas tasub antud juhul proovida veel mõnd programmi või pole sel mõtet?
Kui keegi oskaks neile küsimustele vastata, oleksin väga tänulik.