Tijdens een van mijn opdrachten de afgelopen tijd heb ik me (verplicht) verdiept in de donkere onderwereld van virussen, wormen, spyware, adware, trojanhorses en zogenaamde rootkits. Dit laatste onderdeel (“rootkits”) is met name interessant omdat het gezien kan worden als de dekmantel voor allerlei activiteiten die (mogelijk) op uw computer plaatsvinden die voor u (als eigenaar van de computer) onzichtbaar moeten blijven. 

Hiermee zijn we dus gelijk aangekomen bij het eerste beginsel van een rootkit, “het probeert op alle mogelijke manieren verhinderen dat zijn aanwezigheid ontdekt wordt”.  Dit is mogelijk omdat de rootkit zich veelal diep in het besturingssysteem van de computer heeft ingegraven, hierdoor heeft de rootkit inzicht in de informatie die een systeembeheerder te zien krijgt (en kan hij er dus voor zorgen dat zijn aanwezigheid onzichtbaar blijft).

Rootkit software wordt vaak gebruikt in combinatie met andere kwaadaardige software als trojanhorses. De rootkit zorgt er dus voor dat de trojanhorse op uw computer verborgen blijft en zijn (of haar) werk kan doen.  Juist omdat rootkits er alles aan doen om niet gevonden te kunnen worden is het opsporen en verwijderen van dergelijke programmatuur lastig. Voor de detectie van rootkits heeft AVG het programma AVG Anti-Rootkit programma geschreven, hiermee kan op basis van een set regels gezocht worden naar rootkits. 

Het voornaamste probleem in deze is dat het programma geen verschil maakt tussen veilige en onveilige programmatuur die gebruik maakt van rootkit technologie.  Dit was dan er ook de oorzaak van dat het bestand C:\Windows\System32\drivers\al887uj6.sys als “hidden driver file” rootkit aangemerkt werd. Na het verwijderen van dit bestand en de betreffende computer opnieuw opgestart te hebben was de “rootkit” weer gewoon terug, maar met een andere naam. De uiteindelijke oorzaak van bovenstaande was het programma Demon Tools Lite, dit programma emuleert een virtuele CD speler en maakt hiervoor gebruik van rootkit technologie. 

De moraal van dit verhaal ? Wees bedacht op de aanwezigheid van rootkits, ze kunnen een afscherming vormen voor allerhande kwaadaardige programmatuur. Maak echter niet de fout om alle gevonden rootkits zonder meer te verwijderen, daarmee kunt u meer kapot maken dan u lief is.

Doe voorzichtig aan !