Złośliwe oprogramowanie (MALWARE) obejmuje każdy rodzaj kodu, którego natura działania sprowadza się do skrytego przejęcia kontroli nad urządzeniem na którym uda mu się uruchomić. Może się to odbyć pośrednio za wiedzą użytkownika (phishing), czy też bez jego ingerencji drogą wynikającą z błędów programistów (luk systemu operacyjnego, aplikacji itd.) lub administratora sieci (brak oprogramowania antywirusowego, brak aktualizacji systemu, brak szyfrowania dysków) i zarządu (błędnej polityki bezpieczeństwa związanej z wygodnym liczeniem na rozsądek użytkownika dla którego jest to przecież jedyne narzędzie pracy, np. uprawnienia administratora, brak zmiany haseł, brak kontrolera domeny itd.). W 2005 roku SONY BMG dołączyło rootkit-a w swoich CDS, aby zapobiec kopiowaniu i zarządzać prawami cyfrowymi (DRM). Zbiorowy pozew naraził SONY na wielomilionowe starty i po 10 latach dodatkowo na wypływ poufnych danych z Sony Pictures Entertainment. Kto mieczem wojuje ten od miecza ginie. Do komunikacji z skompromitowanym środowiskiem są wykorzystywane różne mechanizmy protokołu HTTP/HTTPS (cURL bibloteki) oraz BITS (Backgrounf Inteligent Transfer Service), a także WinHTTP (interfejs programowania), czy też POP3S, IMAPS, SMTPS (usług poczty elektronicznej). O ile do zainfekowania systemu wystarczyło swego czasu otworzyć program pocztowy (Outlook) to leczenie nawet przez wymianę dysku i ponowną instalację systemu może się okazać bezproduktywne. Istnieją rootkit-y instalujące się nie tylko w tablicy partycji dysku (bootable), czy jądrze systemu operacyjnego (kernel), ale również potrafiące zastąpić oprogramowanie układowe płyty głównej komputera, routera, telefonu komórkowego, przełącznika itd. Reasumując ponowna instalacja systemu operacyjnego nic nie da.
Nie mniej od czegoś trzeba zacząć. Proponuje od samego Microsoft Defender offline. Ponieważ rootkit-y zwykle broniąc się przed ujawnieniem blokują komunikację z serwerami MicroSofta. Musiało wyprowadzić to z równowagi Bill-a, gdyż poważnie podszedł do ich zwalczania i wyposażył Defendera w bogatą bazę ich sygnatur. Zresztą brak aktualizacji jest zwykle pierwszym z objawów zawirusowania systemu, jak również blokada dostępu do stron z antywirusami. W drugim ruchu proponuje ściągnąć RKill z strony bleepongcomputer.com i uruchomić. Są różne nazwy tego samego programu na tej stronie, a to dlatego, że niektóre rootkit-y potrafią blokować określone procesy. To może być też kolejnym sygnałem potwierdzający, że mamy obcego na pokładzie. Sam RKill zamyka podejrzane według niego procesy, ale nie usuwa źródła ich powstania, a daje możliwość ich wykrycia trzecim programom, np. antywirusowym. W przypadku starszych systemów operacyjnych produkt ComboFix tej samej firmy załatwiłby ten temat za jednym zamachem. Niestety, jak widać z nowszymi wersjami Windows-ów nie tylko firmy antywirusowe stają przed nie lada wyzwaniem.
Nie lekceważyłbym tego rodzaju zagrożeń dla systemów Unix-owych. Do ich przeskanowania proponuję użycie skryptu chkrootkit z strony www.chkrootkit.org, który zawiera na dzień 2024-05-24 zawrotną liczbę 75 próbek rootkit-ów, worm-ów (wirus potrafiący się rozprzestrzeniać przez sieć, tzw. robak) i LKM-ów (Loadable Kernel Modules). Drugim narzędziem polecanym przez moją skromną osobę jest unhide (www.unhide-forensics.info).
Z powyższego tekstu wynika jasno, że lepiej zapobiegać niż leczyć. Ostracyzm to jest najsubtelniejsze sformułowanie na jakie może liczyć administrator IT rozumiejący wyzwania XXI i narzucający pracownikom jedynie obostrzenia wymagane przepisami ochrany danych osobowych . Chciałoby się powiedzieć do pierwszego odzyskania danych. Nie ma litości. Uwierzcie mi nic to nie zmienia w logice myślenia przeciętnego pracownika!