Những công cụ Anti-Rootkit cần và nên có trong hệ thống

Quản Trị Mạng - Có rất nhiều loại phần mềm độc hại, trong đó, những phần mềm sử dụng công nghệ rootkit là khó chịu nhất vì chúng rất khó để phát hiện và loại bỏ. Rootkit có nhiều khả năng phá hoại tiềm tàng, ngụy trang, che đậy tinh vi. Công nghệ rootkit có thể ẩn sự hiện diện của nó trong những công cụ cơ bản nhất được tích hợp trên Windows như Task Manager, đến tường lửa đáng tin cậy nhất hay thậm chí cả trong phần mềm diệt virus, và bạn thậm chí không tìm ra chúng nó ở xó xỉnh nào trên máy. Điều này xảy ra khi cài đặt và tải driver với chế độ hạt nhân (kernel-mode) có thể cho phép phần mềm độc hại chạy với quyền ưu tiên cao hơn.

Hầu hết rootkit dành toàn bộ thời gian để trú ẩn và tìm cách đạt được quyền điều khiển hệ thống mà không bị phát hiện. Điển hình, nếu bạn sử dụng công cụ Task Manager của Windows, Anvir, Process Explorer hoặc bất cứ chương trình nào tương tự, đều không thể phát hiện được hành vi của rootkit, nó cũng có khả năng làm ẩn toàn bộ file và thư mục trong Windows Explorer cho dù bạn có thiết lập chế độ hiển thị file ẩn và hệ thống.

Gần đây, đã xuất hiện nhiều công cụ điều khiển trojan từ xa có thêm lựa chọn tạo server file cùng với rootkit nhưng rất may mắn rằng, chúng hiếm khi được sử dụng vì những tính năng trên vô cùng nhạy cảm, thêm vào đó nếu người lập trình hoặc điều khiển không “chắc tay” thì chúng sẽ gây ra hiện tượng mất ổn định trên máy tính nạn nhân hoặc không thể chiếm được quyền điều khiển cũng như các tài nguyên khác như mong muốn.

Dù hệ điều hành Windows 64-bit về cơ bản là an toàn với sự lây nhiễm của rootkit vì mặc định hệ điều hành này chỉ chấp nhận những diver có chữ ký số, nhưng đã có trường hợp những chứng chỉ số hợp lệ bị hacker đánh cắp và sử dụng chúng cho các driver lậu nhằm qua mặt phần mềm bảo mật và Windows. Phần mềm diệt virus không có tác dụng nhiều với rootkit vì sâu Stuxnet đã bị lây nhiễm trên các máy tinh trong nhiều năm trước khi nó bị phát hiện bởi VirusBlokAda, nhà phát triển phần mềm diệt virus VBA32.

Vì phần mềm diệt virus bình thường khó có thể phát hiện và loại bỏ hoàn toàn rootkit trên máy tính, nên trong bài viết này chúng tôi sẽ kiểm tra một số công cụ chống rootkit chuyên dụng để kiểm tra và xem xem chúng có thể phát hiện ra 3 loại keylogger khác nhau (All In One Keylogger, Invisible KeyLogger Stealth, Elite Keylogger) hay không. Những keylogger này đều sử dụng công nghệ rootkit và được cài đặt trên máy tính. Và đây là kết quả:

avast! ANTIROOTKIT

Đây là công cụ chống rootkit miễn phí và không cần cài đặt. Nó đã khá lỗi thời và không được cập nhật từ năm 2008 bởi vì đã được tích hợp vào phần mềm diệt virus của Avast. Tuy nhiên, bạn vẫn có thể tải trực tiếp từ server của Avast. Công cụ này có thể phát hiện ra All In One Keylogger và không phát hiện được 2 loại còn lại. Quét xong chỉ cần nhấn Fix Now để xóa hoàn toàn các tập tin sau khi khởi động lại máy.

Kaspersky TDSSKiller

Công cụ này có thể phát hiện và loại bỏ các rootkit Alureon, TDSS, TDL và một số rootkit khác bao gồm bootkit. Nhưng với 3 rootkit trong cuộc thử nghiệm này Kaspersky TDSSKiller đều không phát hiện ra.

McAfee Rootkit Remover

Công cụ này chạy trên giao diện dòng lệnh, khá nhẹ, nó có thể phát hiện và loại bỏ dòng rootkit ZeroAccess và TDSS. Nhưng nó không hề nhận ra 3 loại rootkit đang test.

Norton Power Eraser

Công cụ này chỉ khoảng 3MB. Tùy chọn quét rootkit của nó được bật theo mặc định. Norton Power Eraser phát hiện được All In One Keylogger và Invisible KeyLogger Stealth. Đối với Elite Keylogger, một file DLL bị đánh dấu là Unknown.

Trend Micro RootkitBuster

Trend Micro RootkitBuster là công cụ miễn phí, có thể kiểm tra nhiều nơi trên máy tính như Master Boot Record, tập tin, các mục trong registry, driver, các tiến trình, dịch vụ,... để xác định xem rootkit có tồn tại hay không. Tiếc là, công cụ này chỉ phát hiện được All In One Keylogger.

UnHackMe

UnHackMe phát hiện được All In One Keylogger và Invisible KeyLogger Stealth bỏ qua Elite Keylogger.

Chúng tôi còn kiểm tra một số công cụ khác như: COMODO Cleaning Essentials, Dr.Web CureIt!, F-Secure Safe Easy Clean, Sophos Virus Removal Tool, VIPRE Rescue, VirIT eXplorer Lite, AVG Anti-Rootkit, Bitdefender Removal Tool (Rootkit Remover), Malwarebytes Anti-Rootkit nhưng tiếc là chúng không thể phát hiện được 3 rootkit đang thử nghiệm.

Bạn có thể thấy rằng, rootkit là thể loại rất khó "chơi", các hãng bảo mật lớn đều tung ra sản phẩm phát hiện và loại bỏ rootkit nhưng nhiều nhất chỉ phát hiện được hai trong số ba loại chúng ta đang kiểm tra.

Lưu ý: Dù bạn đã quen thuộc với các công cụ chống rootkit hay chưa thì cũng nên sử dụng chúng một cách cẩn thận để tránh vô hiệu hóa một tiến trình, driver quan trọng, khiến Windows không thể khởi động đúng. Hãy tìm hiểu thêm thông tin về tiến trình, driver đó trên mạng trước khi quyết định có nên vô hiệu hóa hay không.