Rootkit – Wikipedia
Ett rootkit eller spökprogram[1] är en uppsättning program eller modifikationer på datorprogram som döljer saker för användare och administratörer genom att modifiera systemets funktion. I allmänhet används ett rootkit i samband med dataintrång eller av malware för att dölja annan otillåten aktivitet. Namnet kommer av administratorskontot "root" på Unix-system.
Ett rootkit kan dölja till exempel filer, registernycklar, processer och trådar.
Rootkits för Unix har funnits åtminstone sedan början av 1990-talet, numera finns sådana också för till exempel Microsoft Windows. Mac OS och GNU/Linux kan i detta sammanhang räknas som olika typer av Unix.
Rootkits har blivit uppmärksammande i media där ett omtalat fall var när Sonys musik-CD med kopieringsskyddet Extended Copy Protection från First 4 Internet innehöll ett rootkit. Rootkitet kunde då det väl var installerat utnyttjas också av annan malware, som därigenom inte kunde upptäckas av normala antivirusprogram.
Att hitta ett rootkit
[redigera | redigera wikitext]Det finns verktyg, bland annat antivirusprogram, som söker efter tecken på ett rootkit, men dessa verktyg hör i allmänhet till de första som den som installerar ett rootkit försöker modifiera eller på annat sätt skydda sig mot.
Det går alltså inte att försäkra sig om att en dator inte är infekterad av ett rootkit med verktyg installerade på datorn, då dessa verktygs funktion kan ha blivit modifierad av rootkitet. I allmänhet har ändå inte alla verktyg modifierats perfekt, utan rootkitets närvaro kan märkas genom att verktygen i något sammanhang ger inkonsekventa uppgifter. Intrånget kan också avslöjas till exempel av nätverksaktivitet som inte verkar förklaras med systemets normala funktion eller dess funktion rapporterad av systemverktygen.
Om man misstänker att ett rootkit installerats kan man kontrollera systemet genom att starta det från annat bootmedium (såsom en Linux live CD) och jämföra till exempel MD5-summor med sådana från motsvarande säkert omodifierade filer.
För programfiler kan kontrollsummor ofta fås av leverantören, och det finns program som tripwire, som för bok över kontrollsummorna och regelbundet kontrollerar dem. Om man kör ett sådant program gäller problemet de filer som inte är med i bokföringen, de filer som förändrats legitimt efter att rootkitet möjligen installerats och huruvida kontrollsummorna kunnat bli modifierade.
Rootkitet elimineras genom ominstallation av bootsektor, operativsystem och programvara samt kontroll av övriga filer och firmware som kan tänkas användas för ominstallation av rootkitet.
Olika typer av rootkit
[redigera | redigera wikitext]Ett rootkit kan installeras som moduler eller modifikationer för operativsystemets kärna, till exempel som drivrutiner, som modifikationer på systembibliotek eller som modifikationer på administrationsverktyg och normala program.
Rootkit kan också installeras i inbyggd kod, till exempel i BIOS eller programkod på expansionskort. Denna kod är svår att analysera med normala verktyg, då den körs vid uppstart och därmed kan gömma sig själv.