Что такое руткиты?

В глобальной сети Интернет существует огромное количество вирусов. Одни могут носить шпионский характер, выуживая информацию с ПК, другие – наносить повреждения и убытки. Вредоносные вирусы способны вывести из строя не только установленную на компьютере операционную систему, но и подключенное к нему оборудование. К такого рода вирусам принадлежит руткит. Мы рассмотрим, что такое руткит, какие его виды встречаются. Также узнаем, как избавиться от этого вируса.

imageЧто такое руткит?

Руткит принадлежит к группе вредоносных программ, которые, попадая в операционную систему компьютера, скрытно выполняют определенные функции, заданные разработчиком. Для обычного пользователя работа вируса незаметна. Но при этом вирус руткит полностью контролирует все действия на компьютере. Он может использовать различные вредоносные инструменты, например, передавать данные, вводимые с клавиатуры, сохраненные и вводимые пароли, считывать данные с банковских карт и использоваться для DDoS-атаки с данного компьютера без участия пользователя. Несмотря на то, что rootkit был изначально создан на основе Unix-систем, распространился вирус в ОС Windows в различных версиях. Многие из них недоступны для распознавания антивирусной программой и средствами безопасности системы.

Виды руткитов

imageRootkit бывает двух видов: пользовательский и системный. Что такое руткит пользовательского характера, говорит сам термин. Он работает, как любое приложение, установленное на компьютере. При этом расходуется большой объем оперативной памяти, а всеми запущенными процессами управляет вирус на свое усмотрение. Руткит системного плана внедряется непосредственно в ядро операционной системы, получая максимальный доступ к информации на компьютере. Данная разновидность вирусов наиболее опасна и недоступна для обнаружения различными антивирусными средствами. Такой вирус может самостоятельно управлять действиями установленной антивирусной программы. Недавно появилась разновидность руткитов под ОС Android. Заражают они мобильные телефоны после установки на смартфон зараженных приложений. Еще одна разновидность – bootkit – внедряется в загрузчик ОС и еще до запуска самой системы начинает управлять компьютером.

Как функционирует руткит в операционной системе?

В любом браузере обязательно найдутся «дырки». Наиболее часто rootkit попадает в операционную систему именно через них благодаря плохой защите. Через подобную лазейку вирус внедряется в операционную систему. Далее он распространяется по всей ОС, используя уязвимые места, при этом может устанавливать различные компоненты, необходимые для удаленного управления компьютером без участия пользователя, и производить прочие вредоносные действия. Bootkits могут продолжать активные вредоносные действия, даже если компьютер находится в спящем режиме или непосредственно в процессе запуска ОС.

Как удалить rootkit?

Удалить вирус можно с использованием различных антивирусных программ на базе эвристического анализа компонентов файла. Что такое руткит, антивирусная программа распознает по имеющимся в базе данным. Эти данные ежедневно обновляются создателями антивируса. Антивирусная программа может обнаружить только неактивные руткиты. Удалить уже распространившийся активный вирус очень сложно, порой даже невозможно. Для этого существуют специальные программы для борьбы с руткитами, например, Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Если руткит удалить все же не удалось или в процессе удаления повредились компоненты операционной системы, потребуется полная переустановка ОС. Не рекомендуется переустанавливать ОС на уже установленную. Перед новой установкой ОС жесткий диск необходимо отформатировать.

Похожие статьи

1.6. Новаторские подходы хакеров – руткиты (rootkits)

Если троянцы, о которых говорилось выше, можно обнаружить с помощью системных утилит, то представители этого класса вычисляются только с помощью специальных утилит.

Руткиты представляют собой более продвинутый вариант троянских коней. Некоторые антивирусные компании не разделяют руткиты и троянцы, относя их к одной категории зловредных программ. Однако троян прячется на компьютере, обычно маскируясь под известную программу (например, Spymaster выдавает себя за приложение MSN Messenger), а руткиты используют для маскировки более продвинутые методы, внедряясь глубоко в систему.

Изначально словом «руткит» обозначался набор инструментов, позволяющий злоумышленнику возвращаться во взломанную систему таким образом, чтобы системный администратор не мог его видеть, а система – регистрировать. Долгое время руткиты были привилегией Unix-систем, но, как известно, хорошие идеи просто так не пропадают, и в конце ХХ века стали массово появляться руткиты, предназначенные для Microsoft Windows. О руткитах заговорили, только когда на их использовании в своих продуктах была поймана фирма Sony. Сегодня эксперты предсказывают бум этой технологии, и в ближайшие два-три года ожидается массовый рост количества руткитов – вплоть до 700 % в год. Самое печальное, что их будут использовать не только злоумышленники: руткиты станут массово применяться в коммерческих продуктах, в первую очередь для защиты от пиратства. Например, недавно было объявлено, что компания Microsoft создала руткит, обнаружить который невозможно. Не исключено, что это изобретение встретится в новых версиях Windows.

Обычному пользователю от этого не легче. Технология руткитов потенциально может быть использована для создания нового поколения программ-шпионов и червей, обнаружить которые после их проникновения в компьютер будет почти невозможно.

Практически все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать работающие программы, системные службы, драйверы и сетевые соединения. В основе функционирования руткитов лежит модификация данных и кода программы в памяти операционной системы. В зависимости от того, с какой областью памяти работают руткиты, их можно подразделить на следующие виды:

• системы, работающие на уровне ядра (Kernel Level, или KLT);

• системы, функционирующие на пользовательском уровне (User Level).

Первый известный руткит для системы Windows, NT Rootkit, был написан в 1999 году экспертом в области безопасности Грегом Хоглундом в виде драйвера уровня ядра. Он скрывал все файлы и процессы, в имени которых встречалось сочетание _root, перехватывал информацию, набираемую на клавиатуре, и использовал другие способы маскировки.

Самым известным на сегодня руткитом является Hacker Defender. Эта программа работает в режиме пользователя и маскируется за счет перехвата некоторых API. Hacker Defender может обрабатывать сетевой трафик до того, как он будет передан приложению, то есть любая программа, работающая в сети, может быть использована для взаимодействия со взломщиком. Руткит умеет скрывать файлы и процессы, записи в реестре и открытые порты и может неправильно показывать количество свободного места на диске. Он прописывается в автозагрузку, оставляя для себя черный вход, и прослушивает все открытые и разрешенные брандмауэром порты на предмет 256-битного ключа, который укажет, какой порт использовать для управления. Hacker Defender перехватывает функции запуска новых процессов, что позволяет ему заражать все программы, запускаемые пользователем. Он полиморфен: для шифрования исполняемых файлов руткита обычно используется утилита Morphine.

Примечание

Все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать программы, системные службы, драйверы и сетевые соединения.

Одним из наиболее опасных руткитов является FU, выполненный частично как приложение, а частично как драйвер. Он не занимается перехватами, а манипулирует объектами ядра системы, поэтому найти такого вредителя очень сложно.

Если вы обнаружили руткит, это еще не значит, что вы сможете избавиться от него. Для защиты от уничтожения пользователем или антивирусом в руткитах применяется несколько технологий, которые уже встречаются и в зловредных программах других типов. Например, запускаются два процесса, контролирующих друг друга. Если один из них прекращает работу, второй восстанавливает его. Применяется также похожий метод, использующий потоки: удаленный файл, параметр реестра или уничтоженный процесс через некоторое время восстанавливаются.

Популярен способ блокировки доступа к файлу: файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно. Если попытаться воспользоваться отложенным удалением (во время следующей загрузки), например с помощью программы типа MoveOnBoot, то, скорее всего, запись об этой операции будет через некоторое время удалена либо файл будет переименован.

Любопытный способ защиты использует червь Feebs. Для борьбы с антивирусами, антируткитами и другими утилитами, пытающимися уничтожить его, он выставляет приманку – замаскированный процесс, не видимый на вкладке Процессы в окне Диспетчера задач. Любое приложение, которое попытается обратиться к этому процессу, уничтожается. Программа может устанавливаться как дополнительный модуль к браузеру Internet Explorer, изменяющий его функциональность. Стандартные средства контроля автозапуска типа msconfig не видят эти параметры, а применение дополнительных утилит для изучения системы требует от пользователя определенной квалификации, поэтому единственный действительно надежный способ уничтожить такую программу – отформатировать жесткий диск и заново установить операционную систему.

К сожалению, существующие сегодня специализированные программы, предназначенные для обнаружения руткитов, и традиционные антивирусы не дают стопроцентной гарантии безопасности. Обладая исходным кодом этих программ, можно создать любые модификации руткитов или включить часть кода в любую шпионскую программу. Главное умение руткитов – не прочно закрепиться в системе, а проникнуть в нее, поэтому основным правилом для вас должны стать максимальная защита и осторожность.

Данный текст является ознакомительным фрагментом.

Для начала общее определение.

Руткит — это программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе(компьютере).

Думаю из этого определения все понятно. Т.е. хакер каким-либо образом забрасывает на ваш компьютер свои программки, которые дают ему полную власть над вашим компьютером, а вы этого можете даже не заметить! Удаление руткитов отличается от удаления программ и обычных вирусов.

Подробнее об этом и о том, как этих руткитов удалять, мы и поговорим с вами в этом уроке…

P.S. Если таким способом удалить руткит не получилось, то смотрите мой второй урок по этой теме — Удаляем руткитов — 2.

Руткиты – более опасны, чем вирусы?

Времена, когда компьютерный вирус считался самым главным вредителем, давно канули в лету.

Сегодня существуют гораздо более опасные вредоносные приложения, так называемые руткиты, которые создаются хакерами для установки удаленного доступа к вашему компьютеру. Губительная сила руткитов в их неуязвимости для антивирусных программ и повсеместном распространении.

Что делает руткит?

В обход брандмауэра руткит создает «черный ход» через тайные лазейки в Интернет, который позволяет создавать удаленное подключение, устанавливать дополнительные модули, воровать сохраненные на компьютере пароли, сканировать банковские реквизиты пластиковых карт, отключать антивирусные приложения, то есть — управлять компьютером, насколько подскажет фантазия.

Для чего используют руткиты?

Хакеры используют руткиты для получения дистанционного контроля для создания зомби-сетей, огромная вычислительная способность которых позволяет осуществлять DDoS-атаки невиданной мощности, производить массовые рассылки спама и получать конфиденциальные данные – пароли, адресные книги и файлы.

Как руткит попадает в компьютер?

В основном, руткиты проникают в систему так же, как и обычные вирусы – через присоединенные в спаме файлы, через флешки, а также через уязвимости в браузерах и плагинах. Часто флешка с руткитом подбрасывается потенциальной жертве.

После проникновения в компьютер руткит пробирается глубоко в систему, подменяя один из файлов библиотек *.dll, получает привилегированное положение в системе, оставаясь незамеченным для антивирусных программ, устанавливает дополнительные приложения, которые предоставляют неограниченный доступ компьютеру жертвы.

Почему же антивирусные программы не находят руткит?

Антивирусные программы определяют вредоносный софт по так называемым сигнатурам – особым цепочкам кода, которые содержатся в теле вируса, либо по особенностям его поведения. Особенность руткитов в том, что они манипулируют процессами обмена потоков данных между программами, в том числе и антивирусными, подменяя и удаляя данные о себе. Таким образом, антивирус получает информацию, что «все ОК, угроз не обнаружено».

Как удалить руткиты?

Обнаружить скрытый вредоносный код – очень серьезная задача, и обычному антивирусу с ней не справиться. Для этого нужно применять особые программы, которые написаны специально для таких целей.

На сегодняшний день наиболее эффективные бесплатные программы для обнаружения руткитов — Gmer и AVG Anti-Roorkit. Каждая из них удаляет максимальное количество замаскированных вредителей. Наилучшего эффекта можно достигнуть, используя оба эти приложения. Другие же программы показывают при тестировании неудовлетворительные результаты.

Зачему Касперский ищет руткиты?

Антивирусное ПО – это главная защита компьютера от атак хакеров. Также оно способно увеличивать производительность системы путем удаления мусора. Но некоторые возможности данных программ вызывают вопросы у пользователя. Например, иногда сканирование занимает слишком много ресурсов.

image

Эта статья расскажет об одной из функций в антивирусе Kaspersky, так называемый поиск руткитов. В чем же заключаются возможности данной функции и стоит ли ее отключать?

Поиск руткитов – одна из функций антивирусной программы Kaspersky. Она занимает много времени для обработки данных и иногда снижает общую производительность системы, что сильно мешает основной работе за компьютером. Отсюда и вопрос – можно ли от нее как-то избавиться?

При полной проверке устройства на наличие вредоносного ПО эта опция изначально включена. И, чтобы ее выключить, нужно понять, в чем ее важность.

image

Руткит – это вид хакерского ПО. Оно предназначено, чтобы скрыть действие вредоносных программ в системе. Первые программы с руткитом появились около 20 лет назад, но существуют и по сей день. Rootkit применяется для скрытия отдельных вирусов или же как самостоятельный инструмент внедрения.

Действия руткитов можно разделить на следующие пункты:

  • скрытие действия вредоносных программ от антивирусов, в том числе сканера Windows;
  • несанкционированное подключение к компьютеру со стороны злоумышленников;
  • отключение антивируса путем внедрения в файлы программы.

Обычно руткиты нужны при использовании чужого компьютера для майнинга, при создании DDOS-атак и воровстве личных данных. Также они могут скрывать местоположение злоумышленников.

На сегодняшний день множество антивирусов способны вычислить деятельность вируса путем проведения углубленного поиска и умного анализа подозрительных файлов. Данные операции требуют дополнительного времени при сканировании. Применяя больше мощностей ПК, значительно снижается общая производительность системы. Иногда ей приходится закрывать некоторые активные программы.

Стоит ли выключать и если да, то как?

Снижение производительности заставляет многих пользователей отключить поиск руткитов в Касперском. Это делает проверку файлов фактически бесполезной, так как антивирус сможет находить только открытые угрозы, а их, в последнее время, хакеры почти не используют.

Отключение этой функции делается на свой страх и риск, так как, отключив ее, антивирус будет удалять только легких троянов и червей, оставляя систему беззащитной перед более мощными скрытыми атаками.

image

Итак, если вы решились все-таки удалить функцию поиска руткитов, то следуйте следующей инструкции:

  1. Заходим в клиент Касперского и выбираем главный экран.
  2. Далее необходимо попасть в Настройки – нажимаем на знакомую всем шестеренку внизу экрана.
  3. Выбираем пункт «Производительность» в правом разделе.
  4. Ищем нужный раздел «Поиск программ, предназначенных для скрытия следов вредоносной программы в системе».
  5. Снимаем галочку с него и перезагружаем систему.

Также может возникнуть необходимость отключить эту функцию на время. Для этого не обязательно заходить в настройки. Просто нужно выбрать раздел «Приостановить работу файлового антивируса». В нем, помимо прочего, можно выбрать интервал времени для отключения защиты.

Стоит помнить, что, отключив поиск руткитов, система становится практически беззащитной. Всегда включайте ее перед новой проверкой, особенно, когда активно скачиваете данные из интернета или переходили на сомнительные ресурсы.

Итак, подведем итог для тех, кто использует Касперский. Что это – поиск руткитов? Как отключить и надо ли? Утилита – одна из функций антивируса, которая справляется со скрытыми угрозами, а значит, выключать ее нет смысла. Однако, если она непосредственно в моменте вам сильно мешает, воспользуетесь лучше отключением антивируса на время. Это более удобный во всех смыслах вариант.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий