Rootkit er innenfor IT en type skadevare som kjennetegnes ved at den benytter administratortilgang for å installeres og for å utføre uønskede handlinger. I mange systemer vil administratorkontoen ha brukernavnet root, derav navnet rootkit.
rootkit
Funksjoner
Ettersom skadevaren opererer under administratortilgang, kan den utføre mer avanserte handlinger og endringer på systemet enn en ordinær sluttbrukertilgang vil kunne tillate. Dette innebærer blant annet å enklere kunne lese filer, samle informasjon om tastetrykk, overvåke nettverkstrafikk, og endre systeminnstillinger og -filer.
Overvåkning og uautorisert tilgang til tjenester, brukerkontoer og filer gjennom bakdører er vanlige bruksområder for rootkit. Botnett, der ordinære brukeres maskiner står bak store koordinerte angrep eller masseutsendt søppelpost og svindel, forekommer også ofte.
Rootkit sin dype tilgang kan også gjøre de svært vanskelige å fjerne. Både ved at de infiserer kritiske systemfiler og ved at de kan kopiere seg tilbake etter fjerning.
Kamuflasje
Rootkit sin administratortilgang gir også langt flere muligheter til å holde seg skjult enn annen skadevare har. For eksempel ved å:
- Endre filutforskerens virkemåte så den ikke viser filer som er en del av skadevaren.
- Fjerne skadevaren og tilhørende prosesser fra opplistingen av kjørende programmer.
- Skjule nettverkstrafikk tilhørende skadevaren.
- Delvis deaktivere eller endre antivirusverktøy slik at de ikke detekterer eller varsler om skadevaren.
Kamuflasjeteknikkene utføres ved å endre systemfiler og -verktøy tilhørende disse oppgavene.
Virkemåte
For å tilegne seg administratortilgang benyttes vanligvis sårbarheter i operativsystemet eller kjennskap til administratorpassordet.
Rootkits spres ofte via filnedlasting fra internett, på samme måte annen skadevare. Ettersom typer skadevare er overlappende, og ikke klassifiseres basert på kun én egenskap, kan en skadevare for eksempel være virus (kategorisert på spredningsmetode) og rootkit (kategorisert på tilgang) samtidig.
Fjerning
Rootkit kan oppdages og fjernes av antivirusprogramvare. Et rootkit får imidlertid så mange muligheter til å endre systemet, og også selve antivirusprogramvaren, at det kan være langt mer utfordrende å avdekke slik skadevare etter at en infeksjon har funnet sted.
Les mer i Store norske leksikon
Kommentarer
Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.
Du må være logget inn for å kommentere.