rootkit

Rootkit er innenfor IT en form for skadevare som kjennetegnes ved at den benytter administratortilgang for å installeres og for å utføre uønskede handlinger. I mange systemer vil administratorkontoen ha brukernavnet root, derav navnet rootkit.

Faktaboks

etymologi:

Funksjoner

Ettersom skadevaren opererer under administratortilgang, kan den utføre mer avanserte handlinger og endringer på systemet enn en ordinær sluttbrukertilgang vil kunne tillate. Dette innebærer blant annet å enklere kunne lese filer, samle informasjon om tastetrykk, overvåke nettverkstrafikk, og endre systeminnstillinger og -filer.

Overvåkning og uautorisert tilgang til tjenester, brukerkontoer og filer gjennom bakdører er vanlige bruksområder for rootkit. Botnett, der ordinære brukeres maskiner står bak store koordinerte angrep eller masseutsendt søppelpost og svindel, forekommer også ofte.

Rootkit har også flere muligheter til å holde seg skjult enn annen skadevare. For eksempel ved å endre filutforskerens virkemåte så den ikke viser filer som er en del av skadevaren, eller ved å fjerne skadevaren fra opplistingen av kjørende programmer.

Virkemåte

For å tilegne seg administratortilgang benyttes vanligvis sårbarheter i operativsystemet eller kjennskap til administratorpassordet. Rootkit kan oppdages og fjernes av vanlig antivirusprogramvare. Et rootkit får imidlertid så mange muligheter til å endre systemet, og også selve antivirusprogramvaren, at det kan være langt mer utfordrende å avdekke slik skadevare etter en infeksjon har funnet sted.

Rootkits spres ofte via filnedlasting fra internett, på samme måte annen skadevare. Ettersom typer skadevare er overlappende, og ikke klassifiseres basert på kun én egenskap, kan en skadevare for eksempel være virus (kategorisert på spredningsmetode) og rootkit (kategorisert på tilgang) samtidig.

Les mer i Store norske leksikon

Kommentarer

Kommentaren din publiseres her. Fagansvarlig eller redaktør svarer når de kan.

Du må være logget inn for å kommentere.

eller registrer deg