AVG löysi rootkit hookkeja

Rootkitit ovat sitkeitä pirulaisia. Helpointa on asentaa käyttöjärjestelmä ja ohjelmat uusiksi.

En aio asentaa uudelleen, koska tulevat uudelleen, et perustellut kommentillasi yhtään miksi pitäisi niin tehdä, tiedän itekin syyt miksi kerrot noin. Takaportit, joita jää koneeseen, sitäkö tarkoitit. Käyttis ajan tasalla, kaikki softat ajan tasalla. Kokemuksesta tiiän että liian kova vaiva, mutta jos tuontyyppisille olisi jotain muokkaustapaa, esim vaihtaa tiedostotalkuperäisiksi tai poistaa käsipelillä, olisi varteen otettavampi vaihtoehto.
J nuo tulleet netissä ollessa koneessa siten, että kone lähes seisahtaa ja ilmoittaa ettei x* voi olla muistipaikassa muodossa "read".

Se on virus, joka yrittää käyttää pinentäkin mahdollista tietoturva-aukkoa, veikkaan niin, selaimeni lisäosa Shockwave Flash Player laajennuksen muistipaikka tällä kertaa kulkuaukkona. Pääsee kiintikselle ja aikaa myöden ulos palomuurin kautta viemään tietoja ihan noiden inline hook tiedostojen kautta, käyttis ymmärtää ne koneen turvallisiksi ohjelmiksi, niiden tiedostoiksi.
Eli käyttiksen uudelleen asennuskaan ei nykyisiin haittaohjelmiin auta kuin hetkellisesti. On lopetettava surffailu saastuttavassa lähteessä. Kiintolevyn uudelleen asennus on ehkä ainut jolla ei homma uusiudu, muttei sekään ole ikuinen ratkaisu.
Tämän tyyppisiä haittakoodeja ja troijalaisia on on ollut kauemmin kuin tietoturvayhtiöt edes julkisesti myöntää tietää. Niitä ei huomaa ei näe ei maista eikä haista. Vain task managerissa näkyy dll tiedosto itsekseen auenneena jonkun koneen isäntäprosessin kanssa ja siinä kaikki.

Mm tietoturvaohjelmat voi asentaa omia hookkeja, käyttöjärjestelmä-hookien lisäksi, eli koneeseen ilmaantuneet 'extra-hookit' ei välttämättä ole haittaohjelmia. Hookit ovat siis koneen käyttöjärjestelmäkeskeytykseen asennettuja peräkkäin ketjutettuja (=koukutettuja) rutiineja, mitä ajetaan esim 100 kertaa sekunnissa (oikea käyttö: näppäimistön luku ym).

Virustorjuntaohjelmien toimintaan kuuluu haittaohjelma-hookien esto (ja poisto). Virustorjuntaohjelmat eivät kuitenkaan välttämättä osaa tunnistaa kaikkia. Ja asentuneet rootkitit voi käyttää toisen ohjelman tunnistetta: ne voi asentua kuin selkäreppu halutun ohjelman selkään niin että kun ko ohjelma käynnistyy, koodi/ajo hyppääkin siihen selkäreppuun, vaikka ohjelmalistassa näkyy alkuperäinen ohjelma ajossa (ntfs-tiedostojärjestelmä mahdollistaa tämän).

Käyttäjä ei siis näe sitä, että rootkit-haittaohjelma ajaa toisen ohjelman nimellä. Näin ylläoleva esimerkki, että 'tämä ei ole haittaohjelma' ei pelkästään kerro mitään. Mutta rootkit-tarkistusohjelmien ja kunnollisten virustorjuntaohjelmien pitäisi erottaa ne (esim. f-secure ja avast, ja ilmeisesti avgkin jos se kerran siitä ilmoittaa). Mitä sanoo f-secure on-line check? Jos poisto tarkistusohjelmalla ei onnistu ja epämääräisiä hookeja useita, käyttöjärjestelmän uudelleenasennus lienee helpoin vaihtoehto..

Vielä sanoisin, että konetta ei kannata normaalisti käyttää pääkäyttäjätilillä vaan luoda normaalikäyttäjätili (http://neko.kapsi.fi/ohje/Windows_7-vinkit/),
tällöin haittaohjelmien asentuminen on vaikeampaa. Kaikki päivitykset on aina oltava kunnossa, ja mitään epämääräistä, kuten 'tutki ja poista koneen virukset tällä ohjelmalla' EI kannata asentaa, vaikka kuinka tuputetaan, vaan katkaista heti yhteys! Ja tärkeistä tiedoista pitäisi pitää varmuuskopioita muulla levyllä.