Что такое руткиты и чем они опасны. Что такое руткиты

Руткиты – более опасны, чем вирусы?

Времена, когда компьютерный вирус считался самым главным вредителем, давно канули в лету.

Сегодня существуют гораздо более опасные вредоносные приложения, так называемые руткиты, которые создаются хакерами для установки удаленного доступа к вашему компьютеру. Губительная сила руткитов в их неуязвимости для антивирусных программ и повсеместном распространении.

Что делает руткит?

В обход брандмауэра руткит создает «черный ход» через тайные лазейки в Интернет, который позволяет создавать удаленное подключение, устанавливать дополнительные модули, воровать сохраненные на компьютере пароли, сканировать банковские реквизиты пластиковых карт, отключать антивирусные приложения, то есть — управлять компьютером, насколько подскажет фантазия.

Для чего используют руткиты?

Хакеры используют руткиты для получения дистанционного контроля для создания зомби-сетей, огромная вычислительная способность которых позволяет осуществлять DDoS-атаки невиданной мощности, производить массовые рассылки спама и получать конфиденциальные данные – пароли, адресные книги и файлы.

Как руткит попадает в компьютер?

В основном, руткиты проникают в систему так же, как и обычные вирусы – через присоединенные в спаме файлы, через флешки, а также через уязвимости в браузерах и плагинах. Часто флешка с руткитом подбрасывается потенциальной жертве.

После проникновения в компьютер руткит пробирается глубоко в систему, подменяя один из файлов библиотек *.dll, получает привилегированное положение в системе, оставаясь незамеченным для антивирусных программ, устанавливает дополнительные приложения, которые предоставляют неограниченный доступ компьютеру жертвы.

Почему же антивирусные программы не находят руткит?

Антивирусные программы определяют вредоносный софт по так называемым сигнатурам – особым цепочкам кода, которые содержатся в теле вируса, либо по особенностям его поведения. Особенность руткитов в том, что они манипулируют процессами обмена потоков данных между программами, в том числе и антивирусными, подменяя и удаляя данные о себе. Таким образом, антивирус получает информацию, что «все ОК, угроз не обнаружено».

Как удалить руткиты?

Обнаружить скрытый вредоносный код – очень серьезная задача, и обычному антивирусу с ней не справиться. Для этого нужно применять особые программы, которые написаны специально для таких целей.

На сегодняшний день наиболее эффективные бесплатные программы для обнаружения руткитов — и AVG Anti-Roorkit. Каждая из них удаляет максимальное количество замаскированных вредителей. Наилучшего эффекта можно достигнуть, используя оба эти приложения. Другие же программы показывают при тестировании неудовлетворительные результаты.

Руткит (англ. rootkit) - это специальная программа или набор программ, которые предназначены для скрытия следов злоумышленника или вредоносной программы в системе. Заполучив такое "добро" на свой компьютер, вы предоставляете хакеру возможность подключаться к нему. Он получает доступ к управлению вашим компьютером и дальнейшие действия "вредителя" зависят только от его фантазии.

К тому же, все усугубляется тем, что руткиты активно препятствуют своему обнаружению и сделать это с помощью стандартных антивирусов порой бывает достаточно трудно. Проще говоря - вы даете доступ к своему компьютеру даже не зная этого и злоумышленник пользуется вашими данными незаметно от вас.

План урока представлен ниже:

Как удалить руткит программой TDSSKiller.

Так как от простых антивирусных программ руткиты в основном умеют прятаться, то на помощь в их удалении обычно приходят специальные программы. Первой на очереди у нас идет программа от лаборатории Касперского, которая подарила нам замечательный антивирус. Скачать утилиту можно на официальном сайте Касперского в разделе "Поддержка" по . Открываем спойлер "Как вылечить зараженную систему" и переходим по ссылке для закачки.

Ждем, пока программа просканирует и, при необходимости, вылечит операционную систему. К счастью, на моем компьютере угроз обнаружено не было.

При нахождении угроз они автоматически нейтрализуются. Примечательно то, что для лечения даже не требуется перезагрузки.

Как удалить руткит программой RootkitBuster.

Вторая программа, которую мы рассмотри, называется RootkitBuster и скачать ее можно с официального сайта . Преимуществом программы является то, что она не требует установки на компьютер.

На следующей странице выбираем для какой версии Windows необходимо скачать программу. О том как узнать разрядность операционной системы я говорил в своем уроке про . Далее в окне щелкаем по кнопке "Use HTTP Download" и сохраняем файл к себе на компьютер.

После закачки щелкаем по файлу правой клавишей мыши и выбираем пункт "Запуск от имени администратора". Необходимо будет немного подождать. Откроется новое окно, в котором необходимо поставить галочку на принятии лицензионного соглашения и нажать кнопку "Next".

Вы попадете в главное окно программы, где для сканирования нужно будет нажать кнопку "Scan Now", при этом нужно оставить галочку на всех пунктах в левой колонке, кроме "File Streams" (на 64 разрядных системах количество настроек может быть меньше).

После сканирования вы получите уведомления об обнаруженных подозрительных файлах. Эти файлы можно выделить галочками и внизу нажать кнопку "Fix Now". В процессе удаления руткитов, в может быть предложено перезагрузить компьютер, обязательно соглашайтесь.

Как удалить руткит программой Sophos Anti-Rootkit

Ну и напоследок давайте разберем еще одну утилиту, которая помогает избавиться от руткитов. Она пригодится вам в том случае, если первые два оказались нерабочими или вам пришлись не по душе.

Запускаем программу, в настройках сканирования оставляем все галочки и нажимаем кнопку "Start scan".

Поиск руткитов может продолжаться достаточно долго. В конце вы получите полный отчет по найденным проблемам в виде списка. Замечу, что здесь есть одна особенность. Когда вы выбираете найденный файл в списке после сканирования, в окне ниже появляется его описание. Если в строке "Removable" стоит значение "Yes (but clean up not recommended for this file)", то это файл удалять не рекомендуется, так как он является системным и его удаление может повлиять на работу всей операционной системы.

Все остальные записи, у которых нет указанной выше строки, вы можете смело выделить галочками и удалить с помощью кнопки "Clean up checked items". В моем примере я не стал дожидаться окончания сканирования и на скриншоте ниже показал процесс удаления лишь для примера.

Вот такие три способа можно использовать для удаления руткитов с вашего компьютера. Программы все очень легкие и не требуют каких-то особенных знаний. Выбирайте тот способ, который считаете самым удобным. Также, в некоторых антивирусах уже начали встраивать подобную защиту, поэтому при выборе антивирусного решения ориентируйтесь и на встроенную защиту от руткитов.

Статья будет посвящена программе под названием AdwCleaner. Совместима она со всеми версиями операционной системы Windows и позволяет очистить ваш компьютер от таких зараз как рекламные объявления, потенциально опасные программы, разнообразные рекламные тулбары и замены домашней страницы браузера.

После сканирования следует выделить обнаруженные объекты (предварительно внимательно их изучив!) и нажать кнопочку «Clean up checked items» для их удаления.

В описании найденных объектов программа предложит вам свои рекомендации на счет их удаления. Для этого следует выделить найденный объект. Так, запись в строке Removable «Yes (but clean up is not recommended for this file)» означает, что Sophos Anti-Rootkit без труда сможет удалить этот объект, но его удаление не рекомендуется, т.к. это дружественная программа или модуль, который не приносит никакого вреда системе. Такие объекты можно смело пропускать. Если же вы все-таки решите их удалить, Sophos Anti-Rootkit предупредит о возможных проблемах с операционной системой. Стоит еще раз подумать и … нажать кнопку «Отмена».

Кроме того, Sophos Anti-Rootkit в описании каждого объекта покажет полный путь к нему и дополнительную информацию. Но утилита может этого и не сделать. Самое разумное в этом случае - открыть папку с файлом или ветвь реестра и внимательно изучить найденный Sophos Anti-Rootkit объект со всех сторон: посмотреть его свойства, поискать информацию о нем в интернете и т.п.

Следующая программа на рассмотрении это:

Также бесплатная утилита для извлечения руткитов из системы, работающая без предварительно установки в Windows XP. Скачать Rootkit Buster можно с официального сайта разработчика - компании Trend Micro: http://www.trendmicro.com/download/rbuster.asp.

Для того чтобы начать сканирование просто распакуйте архив и запустите файл Rootkit Buster.exe, затем в окне утилиты нажмите кнопку «Scan Now». При этом Rootkit Buster проверит загрузочную запись MBR и скрытые файлы, реестр, процессы и драйвера.

Если вы достаточно хорошо знаете свой компьютер, то можете отметить последний пункт «File Streams» («Файловые потоки»), но предупреждаю сразу, что в этом случае программа обязательно что-то да найдет и в основном это безобидные объекты. Тем не менее, среди них могут попасться и вредоносные, поэтому важно отличать «овец от волков». По завершении сканирования вы увидите список найденных объектов. Любой из них можно выделить и удалить нажатием кнопки «Delete Selected Items». В моем случае программа ничего не нашла, что очень порадовало.

Утилита отечественных разработчиков, которая кроме обнаружения руткитов имеет огромное число разных, очень полезных функций, помогающих в борьбе с вирусами. Загрузить AVZ можно с официального сайта: http://www.z-oleg.com/secur/avz/. Утилита не требует установки, регулярно обновляется и будет прекрасным дополнением к установленному в системе антивирусу.

Для того чтобы начать сканирование компьютера на предмет руткитов и другой заразы выберите нужный диск или папку (папки) в Области поиска.

При сканировании программа автоматически будет детектировать руткиты. Если же вы хотите, чтобы вместе с руткитами под нож пошли троянские, рекламные и прочие вредоносные программы, в разделе «Методика лечения» отметьте галочкой пункт «Выполнять лечение» и выберите действие для каждого типа вредоносной программы. Рекомендую выбрать «Спросить у пользователя».

Итак, приготовления завершены. Смело нажимайте кнопку «Пуск» и подождите некоторое время, пока AVZ проверит систему.

Если программа нашла какие-либо перехватываемые функции и выдала вам имя файла-перехватчика, внимательно к нему присмотритесь. Это может быть ваш межсетевой экран, антивирус и другие мирные программы, а может быть и руткит. Поэтому в случае подозрения на руткит лучше обратиться в конференцию к разработчикам: http://virusinfo.info.

Мы рассмотрели специализированные утилиты, которые помогают выявлять и бороться с вирусами типа «руткит». В заключении стоит предупредить, о том, что даже используя описанные программы нет 100% гарантий полной защиты, как впрочем, и использование любых других антивирусных программ. Следует признать, что обезопасить компьютер от вирусов возможно, соблюдая так сказать гигиену в операционной системе, и программах используемых на компьютере, стоит почаще делать к резервные копии данных, если они для вас особо важны.

При постоянной работе в интернет обязательно иметь установленную антивирусную программу с ежедневно обновляемыми антивирусными базами. И не переходить на незнакомые ссылки в интернете, чтобы избежать случайного заражение трояном, руткитом, или поймать столь популярный в наше время «порно баннер» требующий отправить смс и оплатить через терминал N-ную сумму…

Руткит (rootkit) - это вредоносное программное обеспечение (программа), позволяющее скрыть следы деятельности вируса (вредоносной программы) в системе.

Руткит устанавливается сразу, как только получает доступ к атакуемой системе - компьютеру или ноутбуку.

Руткиты не только сами стараются быть незаметными, но и скрывают различные другие вирусы, которые смогли проникнуть в систему компьютера. Незаметные для программ защиты они атакуют компьютер. Так руткиты могут передавать персональные данные пользователя (логины и пароли) хакерам, выполнять установку других вирусов и пр.

Руткиты различаются по способу их выполнения и постоянству активации.

1. Руткиты, которые модифицируют структуру данных ядра операционной системы;
2. Руткиты пользовательского режима, в этом случае идет перехват системной информации.

1. Постоянные руткиты, которые активируются при каждом запуске системы;
2. Непостоянные руткиты, которые не могут запускаться самостоятельно после перезагрузки операционной системы.

Руткиты попадают в ПК разными путями. Пользователь может заразить свой компьютер, если зайдет на зараженный сайт, который подвергся хакерской атаке. Иногда руткит может находиться в письме, замаскировавшись под прикрепленный документ. Пользователь, попытавшись открыть такой документ, на самом деле активирует вредоносную программу и заражает свой компьютер. Обычно руткит изменяет какую-нибудь библиотеку операционной системы - файл с расширением *.dll, так его становится трудно обнаружить, и он спокойно может загружать на компьютер или ноутбук различные вирусные программы, о чем пользователь знать не будет.

Существует множество способов защиты компьютера от руткитов. В первую очередь к ним относится установка защитных программ: качественного антивируса и файрвола. Антивирусная программа должна быть лицензионной и всегда активной, а файрвол защитит компьютер пользователя от нежелательного доступа. Пользователь должен следить, чтобы противовирусные программы регулярно обновлялись.

Тем не менее, защита компьютера от руткитов не так проста, как может показаться на первый взгляд. Антивирусная программа способна распознать руткит, только когда он неактивен. Но как только пользователь, сам того не подозревая, активирует руткит, он активируется и проникает в систему, и антивирус уже не может его обнаружить. После активации руткита выявить его могут только специальные программы, например, AVG Anti-Rootkit, Gmer и прочие.

Руткиты - это новый вид вредоносных программ, которые гораздо опаснее обычных вирусов. С их помощью хакеры заражают компьютеры и через сеть Интернет получают доступ к конфиденциальной информации пользователя, они создают из зараженных компьютеров целые сети, что позволяет им устраивать массовые хакерские атаки на различные электронные ресурсы глобальной сети.

Руткиты – вид вредоносных программных средств, которые внедряются в операционную систему (ОС) компьютера и открывают к нему неограниченный доступ злоумышленнику через удаленное соединение.

Изначально (более 20 лет назад) руткиты предназначались для того, чтобы скрывать удаленные манипуляции злоумышленника или следы пребывания вирусов, троянов на компьютере жертвы. Сегодня – руткитами называют любые наборы утилит, которые:

скрывают свою деятельность или деятельность других процессов;
манипулируют процессами ОС;
открывают доступ к средствам ОС через сеть;
собирают пользовательские данные и отправляют их через сеть.

Виды руткитов

Рассмотрим все виды руткитов.

Виды руткитов

Руткиты уровня пользователя – самые распространенные. Они запускаются с правами текущего пользователя, реже администраторскими. Обычно они проникают на компьютер с целью сделать из него зомби-машину для или чтобы украсть конфиденциальные данные пользователя и переслать их злоумышленнику.

Руткиты уровня ядра – редки. Они запускаются с наивысшими правами, загружаются порой раньше операционной системы. Могут находится на компьютере годами, так как их очень сложно обнаружить, и они имеют наивысшие права в системе (root доступ).

Руткиты изменяющие пути исполнения внедряются в ОС, модифицируя обработчики событий операционной системы и системные файлы.

Руткиты, внедряющиеся в ядро, модифицируют само ядро операционной системы, их компоненты взаимодействуют друг с другом, образуя систему внутри системы. Удалить их можно только переустановив ОС.

Особый вид – это программно-аппаратные руткиты, которые работают на уровне выше чем любая операционная система. Они внедряются в механизм программного обеспечения аппаратной виртуализации.

Программно-аппаратные ракиты

Как попадает на компьютер

Руткиты попадают на компьютер пользователя так же, как и все остальное вредоносное ПО. Источником заражения может быть чужая флешка, письмо с незнакомого E-Mail адреса или случайно нажатая ссылка при серфинге в интернет.

На источнике заражения содержится только минимальный код внедрения. Когда он попадает в компьютер, то закрепится в системе и докачает все остальные компоненты с интернета. Когда он соберется в полном составе, он начнет делать то, для чего разработан – собирать данные и отправлять через интернет, устанавливать удаленный доступ к машине (backdoor – англ. черный ход).

Как бороться

Руткиты, которые внедряются в ядро чрезвычайно трудно обнаружить. Их не обнаруживает ни одно автоматизированное средство. Хорошая новость в том, что их единицы. Для каждого из них предназначено собственное средство, вроде TDSSKiller от лаборатории Касперского.

Средства для борьбы с руткитами уровня пользователя встроены в каждый современный пакет интернет защиты. Например, в Касперском (Kaspersky Internet Security) поиск руткитов по умолчанию включен и проводится каждый день, отключить его стандартными средствами нельзя.

Руткиты в Касперском

Это сделано для того, чтобы руткит не смог отключить защиту антивируса, чтобы проникнуть в систему. Если KIS встретит подозрительную активность в системе или узнает компонент руткита по сигнатурам, он заблокирует его.