Jak sprawdzić komputer pod kątem rootkitów?

Eksperci ogólnie zgadzają się, że trudno zgadnąć, ile komputerów jest zagrożonych przez złośliwe rootkity, ale liczba ta wydaje się rosnąć, ponieważ rosnąca lista znanych rootkitów wskazuje na to. Według co najmniej jednego szacunku wskaźnik infekcji jest najwyższy w Stanach Zjednoczonych. Co czwarty zainfekowany komputer to komputer. Niestety nie jest łatwo zidentyfikować rootkita, ponieważ jedną z głównych funkcji jest pozostanie ukrytym. Dostępne są pakiety oprogramowania o nazwie "Anti-Rootkit", których można użyć do wyszukiwania rootkitów. Zdecydowanie zaleca się zapobieganie.

W niektórych przypadkach mogą występować wyraźne oznaki obecności rootkita w systemie. Na przykład użytkownik może przetwarzać tekst lub po prostu surfować po Internecie, jeśli stwierdzi, że komputer przetwarza dane zbyt wolno. Podczas sprawdzania systemu widać, że jednostka przetwarzająca komputer (CPU) ma niewiele zasobów. Może to być spowodowane tym, że CPU wykonuje prace rootkita w tle. Źle napisany rootkit może również powodować wielokrotne awarie komputera. Problemy te mogą jednak wynikać również z innych przyczyn.

 
Ze względów bezpieczeństwa należy co tydzień sprawdzać, czy na komputerze nie ma rootkitów, a następnie wykonać kopię zapasową oczyszczonego systemu, aby uniknąć problemów w przyszłości. Niektóre pakiety antyrootkitowe oferują możliwość usuwania niektórych rodzajów rootkitów. Ogólnie jednak zaleca się sformatowanie dysku twardego i przebudowanie systemu, jeśli zostanie znaleziony rootkit. Bardzo trudno jest upewnić się, że rootkit został całkowicie usunięty, aw niektórych przypadkach usunięcie rootkita może pozostawić "luki" w systemie i spowodować jego niestabilność.

Istnieją różne rodzaje rootkitów i nie wszystkie programy skanujące wyszukują wszystkie typy rootkitów. Anty-rootkity oparte na podpisach szukają znanych rootkitów. Może to być pomocne, jeśli twój system jest zainfekowany znanym zestawem, ale nowe rootkity są wypuszczane codziennie. Inne programy przeciw rootkitom szukają rootkitów w plikach, ale nie w rejestrze.

 
Oprogramowanie antywirusowe z niewiarygodnego źródła może zostać zaprojektowane do zainstalowania rootkita zamiast szukać rootkita. Dlatego wskazane jest, aby trzymać się programów opublikowanych przez znane firmy programistyczne specjalizujące się w oprogramowaniu zabezpieczającym. Niektóre popularne programy antywirusowe należące do tej kategorii to AVG Anti-Rootkit, F-Secure BlackLight, Sophos Anti-Rootkit i Panda Anti-Rootkit.

W kwietniu 2007 r. PC Magazine ™ przetestował i przetestował kilka programów antywirusowych pod kątem skuteczności. Decyzja wydawcy padła na program antywirusowy Pandy, który według doniesień jest bardziej szczegółowy na temat systemu niż inne testowane w tym czasie narzędzia do wyszukiwania rootkitów. Panda Anti-Rootkit znalazł wszystkie wstępnie zainstalowane rootkity w teście i, podobnie jak wiele innych programów antywirusowych, jest bezpłatny. Sensowne może być również użycie więcej niż jednego programu anty-rootkit.

 
Przydatnym protokołem jest wyszukiwanie rootkitów co tydzień, a następnie klonowanie dysku twardego lub tworzenie kopii zapasowej systemu na obrazie znajdującym się na dysku dodatkowym. Dzięki tej strategii nie musisz polegać na usuwaniu rootkita, aby znaleźć rootkita. Aktualny obraz dysku twardego oferuje opcję ponownego sformatowania zainfekowanego dysku, a następnie przywrócenia obrazu, aby zapewnić czysty, stabilny system z krótkim czasem przestoju.

Aby zapobiec pobieraniu rootkitów, unikaj otwierania wiadomości e-mail z nieznanych źródeł, aktualizowania systemu operacyjnego za pomocą najnowszych poprawek oraz uruchamiania programów antywirusowych i antyszpiegowskich z najnowszymi aktualizacjami. Aby dodatkowo zminimalizować ryzyko, powinieneś użyć zapory ogniowej i nie zezwalać witrynom na instalowanie oprogramowania, chyba że masz pewność, że witryna jest godna zaufania.