ルートキットの概要と削除方法

ルートキットとは?

ルートキットは、コンピュータまたはその他のソフトウェアへの不正アクセスを許可するように設計された悪意のあるソフトウェア バンドルです。 .ルートキットは検出が難しく、感染したシステム内でその存在を隠すことができます。ハッカーはルートキット マルウェアを使用して、コンピューターにリモート アクセスし、操作してデータを盗みます。

ルートキットが定着すると、システムはまるでゾンビ コンピュータのように振る舞い、ハッカーはリモート アクセスを使用してデバイスを完全に制御できます。 .ルートキット定義のこの部分が、ルートキットを非常に強力なものにしています。

ファイルレス マルウェアが痕跡を残さずに正当なプログラムを使用するのと同様に、ハッカーはシステム ファイルとシステム プロセスへの特権アクセスを持っているため、ルーキットも正当に見える場合があります。ルートキットはあなたのコンピュータを嘘に仕立て上げ、ウイルス対策ソフトウェアやセキュリティ ソフトウェアにも嘘をつくことがあります。

ルートキットは何をしますか?

ルートキットにより、悪意のあるコードがデバイス内に隠されます。ルートキット攻撃を受けると、オペレーティング システムへのリモート管理者アクセスが許可されます

ルートキットは何を変更しますか?ルートキットの目的は、コンピュータ システムへの管理者レベルの特権アクセスを取得することであるため、ルートキットは管理者が変更できるものなら何でも変更できます .以下は、ルートキットが実行または変更できる内容の短いリストです。

• <強い> マルウェアを隠す: ルートキットは、他の種類のマルウェアをデバイス内に隠し、削除を困難にします。

• <強い> リモート アクセスを取得: ルートキットは、検出を回避しながら、オペレーティング システムへのリモート アクセスを提供します。ルートキットのインストールは、ますますリモート アクセス詐欺に関連付けられています。

• <強い> セキュリティ プログラムの改ざんまたは無効化: 一部のルートキットは、コンピューターのセキュリティ プログラムから身を隠したり、それらを完全にオフにしたりして、マルウェアの検出と削除を困難にします。

• <強い> データを盗む: ほとんどの場合、サイバー犯罪者はルートキットを使用してデータを盗みます。一部のハッカーは、個人を標的にして、ID の盗難や詐欺のために個人データを取得します。スパイ活動や金融犯罪を追求して、企業の標的を狙う人もいます。

• <強い> 永続的な「バックドア」を作成する: 一部のルートキットは、システムにサイバーセキュリティ バックドアを作成する可能性があります。このバックドアは開いたままなので、ハッカーは後で戻ることができます。

• <強い> 盗聴: ルートキットは、ハッカーが盗聴できる監視ツールとして使用できます。

• <強い> プライバシーの侵害: ルートキットを使用すると、ハッカーはインターネット トラフィックを傍受し、キーストロークを追跡し、メールを読むことさえできます.

ルートキットを削除する方法

ルートキットの除去は簡単ではありません。 ルートキットはオペレーティング システムの奥深くに潜んでいる可能性があるため 、彼らがそこにいるとは言い難いです。しかし、感染していることがわかったら、ゾンビ コンピューターのルートキット感染を修復することが重要です。

ステップ 1:ルートキット除去ソフトウェアを実行する

ほとんどのルートキットは基本的な保護を覆す可能性があるため、Windows Defender やその他の組み込みのセキュリティ ソフトウェアに依存しないでください。完全に保護するには、Avast One などの専用ソフトウェアを使用してください。アバストは、世界最大の脅威検出ネットワークと機械学習マルウェア保護を単一の軽量ツールに組み合わせて、ルートキットを検出して削除し、将来のあらゆる種類のオンライン脅威から防御することができます。

Avast One はさまざまなスキャンを提供して、ルートキットやその他の種類のマルウェアがコンピューターに侵入しないようにします。 .

アバスト ワンは、ルートキット ウイルスを削除して再発を防ぐ方法を知っています。そのため、ハッカーがデータを盗んだり、コンピューターへの特権アクセスを取得したりする前に、アバストにマルウェアをスキャンして完全に削除させてください。

ステップ 2:ブートタイム スキャンを実行する

最新のマルウェアは、高度な技術を使用してウイルス対策製品による検出を回避します。オペレーティング システムが実行されると、デバイスに存在するルートキットが自動アンチウイルス スキャンの裏をかくことができます .

ウイルス対策プログラムがオペレーティング システムに特定のマルウェア ファイルを開くように要求した場合、ルートキットは情報の流れを変更し、代わりに無害なファイルを開くことができます。また、マルウェア ファイルの列挙コード (マルウェアに関する情報の保存と共有に使用される) を変更して、スキャンに含まれないようにすることもできます。

そのため、Avast One に含まれているような起動時スキャンが非常に便利です。ブートタイム スキャンは、コンピュータの起動中に実行されます 行動する前にルートキットを処理してキャッチします。起動時スキャンの利点は、通常、ルートキットがまだ休眠状態にあることです。 あなたのシステムに自分自身を隠すことができません.

ステップ 3:デバイスをワイプして OS を再インストールする

ウイルス対策ソフトウェアと起動時スキャンでルートキットを削除できない場合は、データのバックアップ、デバイスのワイプ、クリーン インストールの実行を試してください。ルートキットがブート、ファームウェア、またはハイパーバイザー レベルで動作している場合、これが唯一の解決策になることがあります。

まず、重要なファイルをバックアップするために、ハード ドライブをフォーマットし、ハード ドライブのクローンを作成する方法を知っておく必要があります。メインの C:ドライブを消去する必要があるかもしれませんが、ほとんどのデータは保持できます。これは、ルートキットを削除する最後の手段です。

そもそもルートキットを避ける

ルートキット ウイルスを削除する最善の方法は、ルートキット ウイルスを削除する必要がないようにすることです。ルートキットを削除する方法に関する恐ろしい問題を回避するために、今すぐ実行できるアクションがあります。スマートなオンライン セキュリティの習慣を実践すれば、ルートキットのない状態を維持できるようになります。

• 未知のファイルに注意: 信頼できる連絡先から送信されたファイルであっても、開く前によく確認する必要があります。不明な送信者からの添付ファイルは決して開かないでください。フィッシング攻撃である可能性があります。また、専用の安全なブラウザを使用して、フィッシングやその他のオンラインの脅威に対するセキュリティをさらに強化します。

• 信頼できるソースからソフトウェアを入手: 理想的には、メーカーから直接、または App Store または Google Play Store から入手できます。利用規約をよく確認して、ルートキットをデバイスに挿入しようとしている人がいないことを確認してください。

• できるだけ早くシステム アップデートをインストールしてください: これらのアップデートは、ハッカーがデバイスにアクセスするために悪用できる、最近発見された脆弱性にパッチを適用することがよくあります。

ルートキットを特定して見つける方法

ルートキットが適切に機能している場合、ユーザーはそれに気づきません。ルートキットを見つけて検出する最善の方法は、Avast One のようなルートキット スキャナーと削除ツールを使用することです。この無料のルートキット スキャン ツールは、デバイスにインストールされているルートキットを見つけて削除するだけでなく、今後それらがインストールされるのを防ぎます。

日曜大工の群衆のために、ルートキットを見つける方法に関する別のヒントがあります.最高の無料のウイルス対策ソフトウェアを選択するほど簡単ではありません — 自分でルートキットを見つけたとしても、それを削除することはできないかもしれません — しかし、私たちがお手伝いします.

ルートキット攻撃の兆候

次の警告サインは、デバイスにルートキットが存在することを示している可能性があります:

• システムの動作がおかしい: ルートキットにより、ハッカーはコンピュータの OS を操作できます。コンピューターの動作がおかしい場合、ルートキットを介したハッカーの仕業である可能性があります。

• 設定の変更: 一般的に、あなたのコンピューターは、言われなければ何かをするべきではありません。ルートキット対応のリモート アクセスでは、他の誰かがあなたの設定や構成に干渉できるようになる可能性があります。何かが違うと思われる場合は、心配する必要があるかもしれません。

• Web ページ/ネットワーク アクティビティが断続的: インターネット接続が突然不安定になった場合、それはサービスの問題以上のものである可能性があります.ハッカーがルートキットを使用してコンピューターから大量のトラフィックを送受信している場合、インターネット接続が停止する可能性があります。

ルートキットの見つけ方

お使いのコンピュータが感染した疑いがある場合は、次の手法がルートキットを見つけるのに役立つ可能性があります:

• 署名スキャン: コンピュータは数字を使って物事を行います。ソフトウェアの署名 は、コンピューター言語での表現として機能する数値のセットです。既知のルートキット署名のデータベースに対してコンピューターをスキャンし、それらのいずれかが表示されるかどうかを確認できます。

• メモリ ダンプ分析: Windows マシンがクラッシュすると、メモリ ダンプと呼ばれるファイルも生成されます 、またはクラッシュ ダンプ。熟練した技術者は、このファイルを調べてクラッシュの原因を特定し、それがルートキットによるものかどうかを確認できます。

• システム メモリ検索: コンピューターのシステム メモリを検索して、異常がないかどうかを確認します。検索中に、呼び出されたプロセスの兆候がないかすべてのイングレス (アクセス) ポイントをチェックし、DLL (ダイナミック リンク ライブラリ) からインポートされたすべてのライブラリ呼び出しを追跡します。フックされたり、他の機能にリダイレクトされたりするものもあります。

ルートキットはどのようにインストールされるのですか?

コンピューター ワームやウイルスとは異なり、トロイの木馬マルウェアに似ていますが、ルートキット感染がコンピューターにインストールされるには助けが必要です。

ハッカーはルートキットを 2 つのパートナー プログラム、ドロッパー にバンドルします。 とローダー — 連携してルートキットをインストールします。 3 つのマルウェアが一緒になって、複合型の脅威を構成します .ルートキットがインストールに使用するツールを詳しく見てみましょう。

• ドロッパー: ドロッパーはルートキットを被害者のコンピュータにインポートします。ドロッパーは、インストール プロセスの最初の段階です。被害者がドロッパーを起動すると、ドロッパーがローダーを起動します。

• ローダー: ドロッパーが実行されると、ローダーが起動し、ルートキットをターゲット システムにインストールします。多くの場合、ローダーはバッファ オーバーフローをトリガーしてこれを行います .これは、ハッカーがコンピューターのメモリの他の方法ではアクセスできない領域にコードを配置できるようにする一般的なセキュリティ エクスプロイトです。

ルートキットには、連携して攻撃を実行する「ドロッパー」と「ローダー」がバンドルされています。 .

サイバー犯罪者の課題は、混合された脅威パッケージを着陸させることです。ハッカーがコンピューターにルートキットをインストールするためにこれを行う可能性があるいくつかの方法を次に示します。

• メッセージング プログラムの乗っ取り: 複合型の脅威は、インスタント メッセージング クライアントをハイジャックして、被害者の連絡先に拡散する可能性があります。受信者がメッセージ内の悪意のあるリンクをクリックすると、コンピューターも感染します。このタイプのソーシャル エンジニアリング攻撃は、ルートキットを拡散するための非常に効果的な方法です。

• 信頼できるソフトウェアに便乗: ハッカーは、信頼できるプログラムやアプリにコンピューターのルートキットを挿入し、それらの有害なアプリをさまざまなダウンロード ポータルにアップロードできます。感染したアプリをインストールすると、無意識のうちにルートキットもインストールされます。

• 他のマルウェアの使用: ウイルスとトロイの木馬は、どちらもコンピューターに侵入するのに非常に効果的であるため、ルートキット スプレッダーとして使用される可能性があります。ウイルスを含むプログラムまたはトロイの木馬を実行すると、ルートキットがデバイスにインストールされます。

• リッチ コンテンツ ファイルでの非表示: PDF などのリッチ コンテンツ ファイルの出現により、ハッカーは専用の Web サイトやプログラムにマルウェアを隠す必要がなくなりました。代わりに、これらの単純なリッチ コンテンツ ファイルにルートキットを埋め込むことができます。汚染されたファイルを開くと、ルートキット ドロッパーが自動的に実行されます。

ルートキットの種類

セキュリティの専門家は、ルートキットがマシンに感染する場所と程度に基づいて 6 つのカテゴリに分類しています。

ユーザーモードのルートキット

ユーザーモードのルートキットがオペレーティング システムの管理者アカウントに感染

これらのルートキットは、コンピューターの起動時に自動的に起動するため、単に再起動するだけでは感染を駆除するのに十分ではありません.ルートキット検出ソフトウェアはカーネルと呼ばれるより深いレベルで実行されるため、Avast One などのマルウェア スキャナーおよび削除プログラムは、ユーザー モードのルートキットを検出できます。

カーネルモードのルートキット

カーネル レベルのルートキット スキャナーに対応して、ハッカーはカーネル モードのルートキットを作成しました。 コンピュータの実際のオペレーティング システムと同じレベルにある その結果、OS 全体が危険にさらされます。

カーネル モードのルートキットに攻撃されると、コンピューターに関する何も信頼できなくなります。アンチ ルートキット スキャンの結果を含め、すべてが汚染される可能性があります。幸いなことに、過剰なシステム クラッシュや、その存在を明らかにするその他の問題を引き起こさずに動作できるカーネル モードのルートキットを作成することは非常に困難です。

ハイブリッド ルートキット

ハイブリッド ルートキットは、一部のコンポーネントをユーザー レベルに配置し、その他のコンポーネントをカーネルに配置します。 .これにより、ハイブリッド ルートキットは、ユーザー モードのルートキットの安定性を享受し、カーネルに常駐する従兄弟の強化されたステルス性を享受できます。したがって、ユーザーとカーネルのハイブリッド ルートキットは、サイバー犯罪者に最も人気のあるタイプの 1 つです。

ファームウェア ルートキット

ファームウェアは、コンピューター ハードウェアを制御する一種の低レベル ソフトウェアです。一部のルートキットは、コンピュータの電源を切るとファームウェア内に隠れる可能性があります .オンに戻すと、ファームウェア ルートキットが再インストールされ、機能するようになります。

ルートキット スキャナーが実行中にファームウェア ルートキットを検出して非アクティブ化すると、次にマシンの電源を入れたときにルートキットがすぐに元に戻ります。ファームウェア ルートキットは、コンピューター システムから削除するのが難しいことで有名です。

ブーツキット

コンピュータの電源を入れると、OS をロードする方法について、マスター ブート レコード (MBR) が参照されます。 ブートローダー ルートキットとも呼ばれるブートキット は、コンピューターの MBR に感染するカーネルモードのルートキットの亜種です。コンピューターが MBR を参照するたびに、ブートキットも読み込まれます。

ブートキットは OS にまったく存在しないため、すべてのカーネル モードのルートキットと同様に、マルウェア対策プログラムはブートキットを検出するのが困難です。ありがたいことに、ブートキットは廃止されました 、Windows 8 と Windows 10 の両方がセキュア ブート機能でそれらに対抗するためです。

仮想ルートキット

仮想マシンは、物理コンピューターでホストされている別のコンピューターのソフトウェア ベースのエミュレーションです。仮想マシンは、1 台のマシンで複数のオペレーティング システムを実行したり、隔離された環境でプログラムをテストしたりするために使用されます。

仮想ルートキット、または仮想マシンベースのルートキット (VMBR) は、元の OS の下に自分自身をロードし、その OS を仮想マシンに配置します .これらはコンピュータの OS とは別に実行されるため、検出が非常に困難です。

ルートキットの例

新しいルートキットが出現すると、すぐにサイバーセキュリティの最も緊急な問題の 1 つになります。歴史上最も有名なルートキットの例、ハッカーによって作成されたもの、大企業によって驚くほど作成および使用されたものを見てみましょう。

ルートキット攻撃の最もよく知られた例のタイムライン.

• 1990: Lane Davis と Steven Dake が最初の既知のルートキットを作成 SunOS Unix OS については、Sun Microsystems で。

• 1999: Greg Hoglund が、NTRootkit と呼ばれるトロイの木馬の作成について説明する記事を公開しています 、Windows 用の最初のルートキットです。これは、カーネル モードで動作するルートキット ウイルスの一例です。

• 2003: ユーザーモードの HackerDefender ルートキットは、Windows 2000 および Windows XP に到着します。 HackerDefender の出現により、ルートキット対策ツール RootkitRevealer とのいたちごっこが始まりました。

• 2004: Greek Watergate として知られるようになる攻撃で、ルートキットを使用して、ボーダフォン ギリシャ ネットワーク上の 100 を超える携帯電話が盗聴されます。これには、同国の首相が使用する電話も含まれます。 .

• 2005: Sony BMG は、事前に消費者の同意を得ることなく、著作権侵害対策ツールとしてルートキットをインストールする CD を配布した後、大規模なスキャンダルに見舞われました。

• 2008: TDL-1 として知られていた TDL-4 ブートキット 、ボットネットの作成と維持に使用される悪名高い Alureon トロイの木馬を助長します。

• 2009: 概念実証の Machiavelli ルートキット macOS (当時は Mac OS X と呼ばれていた) をターゲットにしており、Mac もルートキットのようなマルウェアに対して脆弱であることを示しています。

• 2010: Stuxnet ワーム 米国とイスラエルが共同開発したとされる .

• 2012: Flame として知られる 20 MB のモジュラー マルウェア — comparatively massive since lots of malware is under 1 MB — wreaks havoc across infrastructure in the Middle East and North Africa.

• 2018: LoJax is the first rootkit that infects a computer’s UEFI, the firmware that controls the motherboard, letting LoJax survive an operating system reinstall.

• 2019: This recent rootkit attack comes from Scranos , a rootkit that steals passwords and payment details stored in your browser. And, notably, it turns your computer into a clickfarm to secretly generate video revenue and YouTube subscribers.

Protect your devices with anti-rootkit software

Trusted by over 400 million users around the world, Avast defends against all types of malware, including rootkits. When you install Avast One, you’re equipping yourself with one of the strongest rootkit scanners and removers available. You’ll get rootkit protection at its best — along with a suite of other security and privacy features — absolutely free.