Rootkit is een programma dat zijn eigen kwaadaardige acties verbergt voor antivirussen, of maskeert het werk van andere malware, bijvoorbeeld een Trojan. De rootkit verbergt met name systeemprocessen, bestanden, stuurprogramma ‘ s, registervermeldingen en netwerkverbindingen, waardoor antivirussen geen sporen van de aanwezigheid van dit kwaadaardige programma kunnen identificeren.
audit van informatiebeveiliging
De functionaliteit van rootkits is divers: ze kunnen wachtwoorden stelen, bankkaartgegevens, toetsenbordtaps lezen, bots op afstand bedienen voor DDoS-aanvallen, antivirussen uitschakelen, enz.
De naam is gevormd uit root (“superuser” in Unix terminologie) en kit (“kit”). Dat wil zeggen, een rootkit is een set tools voor systeemacties met beheerdersrechten. In feite zijn rootkits in termen van rechten verdeeld in twee categorieën: gebruikersniveau en kernelniveau.
Een rootkit met gebruikersrechten heeft dezelfde status als elke gewone applicatie die door een slachtoffer wordt geïnstalleerd. Ze vermommen zich als een systeemproces en parasiteren applicaties, verstoren hun werk of corrigeren het op de juiste manier.
“Nucleaire” rootkits krijgen volledige toegang tot het systeem op het niveau van de OS-kernel. Dit is de gevaarlijkste soort. Het detecteren en verwijderen van een nucleaire rootkit is veel moeilijker dan een rootkit op gebruikersniveau. Een voorbeeld is de Backdoor bootkit (een ondersoort van de rootkit).Win32.Sinowal, die de laarssector van de MBR (Master Boot Record) harde schijf infecteert en loopt voordat het systeem opstart, waardoor het volledige controle krijgt.
Rootkits worden gedownload Onder het mom van vrije software, verbergen zich achter banners en links op geïnfecteerde sites en worden gedownload van externe schijven (flash drives, SD-kaarten, schijven).