माइक्रोसॉफ्ट मैलवेयर प्रोटेक्शन सेंटर ने रूटकिट्स पर अपनी धमकी रिपोर्ट डाउनलोड करने के लिए उपलब्ध कराया है। रिपोर्ट में मैडवेयर धमकी देने वाले संगठनों और व्यक्तियों के एक और अधिक कपटी प्रकारों में से एक - रूटकिट की जांच करता है। रिपोर्ट जांचती है कि कैसे हमलावर रूटकिट का उपयोग करते हैं, और प्रभावित कंप्यूटर पर रूटकिट कैसे काम करते हैं। शुरुआती के लिए रूटकिट्स के साथ शुरू होने वाली रिपोर्ट का एक सारांश यहां दिया गया है।
रूटकिट उपकरण का एक सेट है जो किसी हमलावर या मैलवेयर निर्माता किसी भी उजागर / असुरक्षित प्रणाली पर नियंत्रण प्राप्त करने के लिए उपयोग करता है जो अन्यथा सामान्य रूप से सिस्टम व्यवस्थापक के लिए आरक्षित होता है। हाल के वर्षों में शब्द 'रूटकिट' या 'रूटकिट फंक्शनलिटी' को माल्वर द्वारा प्रतिस्थापित किया गया है - एक प्रोग्राम जिसे स्वस्थ कंप्यूटर पर अवांछनीय प्रभाव पड़ने के लिए डिज़ाइन किया गया है। मैलवेयर का मुख्य कार्य उपयोगकर्ता के कंप्यूटर से चुपके से मूल्यवान डेटा और अन्य संसाधनों को वापस लेना है और इसे हमलावर को प्रदान करना है, जिससे समझौता कंप्यूटर पर उसे पूर्ण नियंत्रण मिल रहा है। इसके अलावा, अगर वे अनजान हो गए, तो विस्तारित अवधि, संभावित रूप से वर्षों के लिए उन्हें पता लगाना और निकालना मुश्किल हो सकता है।
तो स्वाभाविक रूप से, एक समझौता कंप्यूटर के लक्षणों को मुखौटा करने की आवश्यकता है और परिणाम से पहले घातक साबित होता है। विशेष रूप से, हमले को उजागर करने के लिए और अधिक कड़े सुरक्षा उपाय किए जाने चाहिए। लेकिन, जैसा कि बताया गया है, एक बार ये रूटकिट / मैलवेयर स्थापित हो जाने के बाद, इसकी चुपके क्षमताओं को इसे और उसके घटकों को डाउनलोड करना मुश्किल हो जाता है। इस कारण से, माइक्रोसॉफ्ट ने रूटकिट्स पर एक रिपोर्ट बनाई है।
रूटकिट्स पर माइक्रोसॉफ्ट मैलवेयर प्रोटेक्शन सेंटर धमकी रिपोर्ट
16 पृष्ठ की रिपोर्ट बताती है कि कैसे हमलावर रूटकिट का उपयोग करता है और ये रूटकिट प्रभावित कंप्यूटर पर कैसे काम करते हैं।
रूटकिट के प्रकार
ऐसे कई स्थान हैं जहां मैलवेयर स्वयं को ऑपरेटिंग सिस्टम में स्थापित कर सकता है। इसलिए, ज्यादातर रूटकिट का प्रकार उसके स्थान से निर्धारित होता है जहां यह निष्पादन पथ का उपखंड करता है। यह भी शामिल है:
- उपयोगकर्ता मोड रूटकिट्स
- कर्नेल मोड रूटकिट्स
- एमबीआर रूटकिट्स / बूटकिट्स
कर्नेल मोड रूटकिट समझौता का संभावित प्रभाव नीचे स्क्रीन-शॉट के माध्यम से चित्रित किया गया है।
उल्लेखनीय मैलवेयर परिवार जो रूटकिट कार्यक्षमता का उपयोग करते हैं
Win32 / Sinowal13 - मैलवेयर का एक बहु-घटक परिवार जो विभिन्न डेटा के लिए उपयोगकर्ता नाम और पासवर्ड जैसे संवेदनशील डेटा चोरी करने का प्रयास करता है। इसमें विभिन्न प्रकार के एफ़टीपी, HTTP, और ईमेल खातों के साथ प्रमाणीकरण विवरण चोरी करने का प्रयास किया गया है, साथ ही साथ ऑनलाइन बैंकिंग और अन्य वित्तीय लेनदेन के लिए उपयोग किए जाने वाले प्रमाण-पत्र भी शामिल हैं।
Win32 / Cutwail15 - एक ट्रोजन जो मनमाने ढंग से फ़ाइलों को डाउनलोड और निष्पादित करता है। डाउनलोड की गई फ़ाइलों को डिस्क से निष्पादित किया जा सकता है या सीधे अन्य प्रक्रियाओं में इंजेक्शन दिया जा सकता है। जबकि डाउनलोड की गई फ़ाइलों की कार्यक्षमता परिवर्तनीय है, कटवाइल आम तौर पर स्पैम भेजने वाले अन्य घटकों को डाउनलोड करता है।
यह कर्नेल मोड रूटकिट का उपयोग करता है और प्रभावित उपयोगकर्ताओं से अपने घटकों को छिपाने के लिए कई डिवाइस ड्राइवर स्थापित करता है।
Win32 / Rustock - रूटकिट-सक्षम बैकडोर ट्रोजन के एक बहु-घटक परिवार ने प्रारंभ में "स्पैम" ईमेल के वितरण में सहायता के लिए विकसित किया botnet। एक बॉटनेट समझौता कंप्यूटर के एक बड़े हमलावर नियंत्रित नेटवर्क है।
रूटकिट के खिलाफ संरक्षण
रूटकिट्स की संक्रमण को रोकने से रूटकिट्स द्वारा संक्रमण से बचने का सबसे प्रभावी तरीका है। इसके लिए, एंटी-वायरस और फ़ायरवॉल उत्पादों जैसे सुरक्षात्मक प्रौद्योगिकियों में निवेश करना आवश्यक है। इस तरह के उत्पादों को परंपरागत हस्ताक्षर-आधारित पहचान, हेरिस्टिक पहचान, गतिशील और उत्तरदायी हस्ताक्षर क्षमता और व्यवहार निगरानी का उपयोग करके सुरक्षा के लिए एक व्यापक दृष्टिकोण लेना चाहिए।
इन सभी हस्ताक्षर सेटों को स्वचालित अद्यतन तंत्र का उपयोग करके अद्यतित रखा जाना चाहिए। माइक्रोसॉफ्ट एंटीवायरस समाधानों में विशेष रूप से रूटकिट्स को कम करने के लिए डिज़ाइन की गई कई तकनीकों को शामिल किया गया है, जिसमें लाइव कर्नेल व्यवहार निगरानी शामिल है जो किसी प्रभावित सिस्टम के कर्नेल को संशोधित करने के प्रयासों पर पता लगाता है और रिपोर्ट करता है, और प्रत्यक्ष फ़ाइल सिस्टम पार्सिंग जो छिपे हुए ड्राइवरों की पहचान और निष्कासन को सुविधाजनक बनाता है।
यदि किसी सिस्टम को समझौता किया गया है तो एक अतिरिक्त टूल जो आपको ज्ञात अच्छे या विश्वसनीय वातावरण में बूट करने की अनुमति देता है, उपयोगी साबित हो सकता है क्योंकि यह कुछ उचित उपचार उपायों का सुझाव दे सकता है।
ऐसी परिस्थितियों में,
- स्टैंडअलोन सिस्टम स्वीपर टूल (माइक्रोसॉफ्ट डायग्नोस्टिक्स और रिकवरी टूलसेट (डीआरटी) का हिस्सा
- विंडोज डिफेंडर ऑफ़लाइन उपयोगी हो सकता है।
अधिक जानकारी के लिए, आप माइक्रोसॉफ्ट डाउनलोड सेंटर से पीडीएफ रिपोर्ट डाउनलोड कर सकते हैं।
संबंधित पोस्ट:
- विंडोज के लिए फ्री रूटकिट रीमूवर सॉफ्टवेयर की सूची
- विंडोज के लिए मैकफी रूटकिट रीमूवर डाउनलोड करें
- विंडोज़ के लिए बिट डिफेंडर रूटकिट रीमूवर जारी किया गया
- विंडोज 10 बूट प्रक्रिया को कैसे सुरक्षित करें
- रूटकिट क्या है? रूटकिट कैसे काम करते हैं? रूटकिट्स ने समझाया।
