Руткиты – вид вредоносных программных средств, которые внедряются в операционную систему (ОС) компьютера и открывают к нему неограниченный доступ злоумышленнику через удаленное соединение.
Изначально (более 20 лет назад) руткиты предназначались для того, чтобы скрывать удаленные манипуляции злоумышленника или следы пребывания вирусов, троянов на компьютере жертвы. Сегодня – руткитами называют любые наборы утилит, которые:
- скрывают свою деятельность или деятельность других процессов;
- манипулируют процессами ОС;
- открывают доступ к средствам ОС через сеть;
- собирают пользовательские данные и отправляют их через сеть.
Что такое руткит?
Руткит – это одна или несколько программ, которые скрывают присутствие нежелательных приложений на компьютере, помогая злоумышленникам действовать незаметно. Он содержит в себе абсолютно весь набор функций вредоносного ПО. Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит — это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.
Другими словами, руткит – это приложение, которое отвечает за перехват системных функций. Для операционной системы Windows можно выделить такие популярные руткиты: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.
РУТКИТ
Запускаем скачанный файл. Установка не требуется и желательно иметь активное подключение к интернету.
Нажимаем кнопку “Принять” два раза.
В окне “Всё готово к проверке” кликаем по кнопке “Начать проверку”. Опцию “Изменить параметры” можно не трогать и ждём окончания процесса сканирования и нейтрализации найденных угроз.
На этом статья заканчивается для тех пользователей, у которых руткит в был найден и успешно нейтрализован. А у меня, после завершения сканирования оказалось, что предположение о внедрении в операционную систему руткитов первоначально было не верно. Антируткит утилита никаких угроз не обнаружила.
Если вы оказались в похожей ситуации, в первую очередь прогоните ОС антируткит утилитой, а потом, если ничего не помогло, поменяйте свой антивирус. Только если он не Антивирус Касперского, а какой-либо из бесплатных.
Не всегда бесплатно, значит лучше. Спасибо за внимание!
P.S. Если вас интересует видео инструкция о том, как установить ОС Ubuntu рядом с Windows, тогда перейдите по .
Разновидности
Существует несколько вариантов этих вирусных программ. Их можно разделить на две категории: user-mode (пользовательские) и kernel-mode (руткиты уровня ядра). Утилиты первой категории имеют те же возможности, что и обычные приложения, которые можно запустить на устройстве. Они могут использовать память уже запущенных программ. Это наиболее популярный вариант. Руткиты второй категории находятся глубоко в системе и имеют полный доступ к компьютеру. Если такая программа установлена, то хакер может делать с атакованным устройством практически все, что хочет. Руткиты такого уровня гораздо сложнее создать, поэтому первая категория и пользуется большей популярностью. Но вирусную программу уровня ядра совсем непросто найти и удалить, и защита от компьютерных вирусов зачастую здесь абсолютно бессильна.
Существуют и другие, более редкие варианты руткитов. Называют эти программы буткитами. Суть их работы заключается в том, что они получают контроль над устройством задолго до запуска системы. Совсем недавно были созданы руткиты, атакующие Android-смартфоны. Хакерские технологии развиваются так же, как лецинзионное ПО — идут в ногу со временем.
Антивирусы и другие автоматизированные средства
Руткит, известный антивирусу, элементарно обнаруживается путем сканирования почтовых вложений или сетевых пакетов, однако даже в этом случае у хакера имеется масса способов обломать рога антивирусу. Допустим, руткит забрасывается через дыру в браузере, некорректно обрабатывающем TIFF-файлы. Тогда атакующему остается всего лишь заманить жертву на ссылку вида https://www.xxxx.com, чтобы антивирус пропустил нужные сетевые пакеты мимо своих ушей.
Что же касается поиска активных руткитов, то, даже если они известны антивирусу, у них остаются все шансы уйти от возмездия, особенно если антивирус знаком руткитам. Вот, например, существует такая интересная утилита, как Rootkit Revealer от Марка Руссиновича. По утверждению ее создателя, она обнаруживает все руткиты, представленные на www.rootkits.com, что не соответствует действительности — тривиальная проверка выявляет большое количество малвари, отслеживающей запуск Rootkit Revealer’а и модифицирующей его код в памяти таким образом, чтобы он ничего не показывал. Естественно, подобная техника работает только со строго определенными версиями Rootkit Revealer’а (руткит должен знать точное расположение машинных команд в памяти). А поскольку у разработчиков малвари нет никакого желания отслеживать выход новых версий, они ограничиваются атакой типа WM_X, сводящейся к манипуляции элементами пользовательского интерфейса путем посылки соответствующих сообщений (Window Messages), удаляющих обнаруженные руткиты из списка, отображаемого Rootkit Revealer’ом, что работает со всеми версиями. Но в лог-файл обнаруженные руткиты все-таки попадают.
К тому же Rootkit Revealer находит только те руткиты, которые: а) модифицируют реестр и/или файловую систему; б) скрывают следы своего присутствия. Если хотя бы одно из этих условий не выполняется, руткит не будет обнаружен. Анализ кода некоторых руткитов показывает, что они отслеживают появление окна Rootkit Revealer’а и прекращают свою маскировку на время его работы. Разработчикам защитных утилит уже давно пора взять полиморфизм на вооружение — пока они будут обнаруживаться руткитами, ни о какой защите и речи быть не может! Антивирус не должен иметь постоянной сигнатуры (равно как и окон с заранее известными заголовками)!
Мир руткитов не исчерпывается теми демонстрационными экземплярами, что выложены на www.rootkits.com. Суди сам: разработка качественного руткита — сложная инженерная задача, и за один вечер такие руткиты не пишутся. Торговать руткитами (в силу их полулегального положения) отваживаются только самые нуждающиеся (или отчаявшиеся). Так какой же резон выкладывать руткит в общественный доступ? Разве что для того, чтобы заявить о себе и посостязаться в крутости с другими хакерами. Но! Профессиональные программисты уже давно миновали стадию самоутверждения и, вместо того чтобы работать за идею, предпочитают кодить за деньги по индивидуальным заказам (по крайней мере, будет на что нанимать адвоката).
Реюз (то есть повторное использование кода) в таких руткитах практически не встречается, и в антивирусные базы попадают лишь немногие. Как уже говорилось выше, правильно спланированная атака предполагает самоуничтожение руткита по истечении некоторого времени. Да и как его ловить, если он существует только в оперативной памяти?! Можно, конечно, передавать антивирусным компаниям дамп ядра операционной системы, но тут есть три но. Во-первых, какая антивирусная компания будет в нем ковыряться? Во-вторых, это же сколько трафика потратит! В-третьих, в дампе кроме руткита может находиться тьма секретной информации, которую разглашать крайне нежелательно, например пароли.
Важно понять, что, в отличие от вирусов и червей, распространяющихся от компьютера к компьютеру и рано или поздно попадающих в антивирусные капканы, настоящие руткиты существуют в единичных экземплярах, и потому обнаружить их могут лишь проактивные технологии, например эвристический анализ. Однако, если заказчик руткита хоть немного дружит с головой, он обязательно проверит, палится ли руткит последними версиями антивирусов при самом строгом режиме эвристики (при котором антивирус ругается даже на честные программы), и, если да, возвратит его назад на доработку.
Поэтому в качестве рабочего тезиса необходимо принять, что руткиты антивирусами не обнаруживаются, как бы нам ни промывали мозги создатели антивирусов.
Самодельные руткиты
Огромное количество зараженных компьютеров находятся в так называемой зомби-сети и используются для того, чтобы рассылать спам-сообщения. При этом пользователи этих ПК ничего не подозревают о такой «деятельности». До сегодняшнего дня было принято думать, что создавать упомянутые сети могут лишь профессиональные программисты. Но совсем скоро все может кардинально измениться. В сети реально найти всё больше инструментов для создания вирусных программ. Например, при помощи набора под названием Pinch можно легко создать руткит. Основой для этого вредоносного ПО будет Pinch Builder Trojan, который можно дополнить различными функциями. Это приложение с лёгкостью сможет считывать пароли в браузерах, распознавать вводимые данные и отправлять их аферистам, а также ловко прятать свои функции.
Литература о руткитах
Тема malware tools очень обширна и часто заслуживает минимум нескольких статей, посвященных всем аспектам использования руткитов, буткитов, firmware-закладок, хуков, внедрений в исполняемые процессы и замещений. Поскольку объем данной статьи не позволяет рассказать обо всем, мы можем порекомендовать вам, дорогой друг, несколько хороших книг и ресурсов в сети Интернет для самостоятельного изучения матчасти :).
Rootkits: Subverting the Windows Kernel (Greg Hoglund, Jamie Butler)
Одна из немногих книг, в целом посвященная руткитам и технологиям их обнаружения в Windows системах. Настоящий must have для начинающего исследователя, неискушенного в тонкостях функционирования Windows.
Inside Windows Debugging (Developer Reference)
Довольно занятная книга, пошагово с самых основ рассказывающая о технологиях отладки различных программ под ОС Windows, особенностях архитектуры этой ОС, инструментах и методиках отладки, фичах и других не менее важных деталях.
Rootkits and Bootkits. Reversing Modern Malware and Next Generation Threats
Книга, которую стоит рекомендовать в первую очередь. Ценнейший сборник информации о руткитах и буткитах, алгоритмах их работы, особенностях реализации в ОС, методах детектирования и противодействия.
Rootkits and Bootkits
Архив wasm.ru, посвященный низкоуровневому программированию. В комментариях не нуждается — самый большой сборник русскоязычных материалов по низкоуровневому программированию, написанию драйверов, системных модулей и приложений, работающих в ring 0.
Способы заражения устройства
Изначально руткиты внедряются в систему точно так же, как и другие вирусные программы. При уязвимости плагина или браузера попасть на компьютер для приложения не составит никакого труда. Часто для этих целей используют флеш-накопители. Иногда хакеры просто бросают флешки в местах скопления людей, где человек может забрать зараженное устройство с собой. Так на компьютер жертвы попадает руткит. Это приводит к тому, что приложение использует слабые стороны системы и с легкостью получает доминирующее положение в ней. Затем программа проводит установку вспомогательных компонентов, которые используются для управления компьютером на расстоянии.
Методы заражения
Способы проникновения ничем не отличаются от других классов: вирусов, червей, троянов:
- посещение ненадежных сайтов — используются «слабые места» в браузере;
- через другие устройства, иногда злоумышленники специально оставляют флешки в посещаемых местах;
- подозрительные файлы, рассылаемые по почте и др.
Как правило, для заражения достаточно одного маленького файла, который «спрячется» внутри операционной системы. Затем он находит ее уязвимые места и получает права администратора. Дальше загружается остальное программное обеспечение, необходимое для паразитических целей.
Фишинг
Нередко система заражается посредством фишинга. Существует большая возможность попадания кода на компьютер в процессе скачивания нелицензированных игр и программ. Очень часто его маскируют под файл, который называется Readme. Никогда нельзя забывать об опасности софта и игр, скачиваемых с непроверенных сайтов. Чаще всего пользователь запускает руткит самостоятельно, после чего программа сразу же прячет все признаки своей деятельности, и обнаружить ее потом очень непросто.
Что они делают
Руткит почти всегда пишется для одной конкретной цели: противоправного получения денег. Если он ускользает от обнаружения, то он прячется там, где никто не может обнаружить его, и предоставляет нападающему доступ в компьютер «через черный вход». В этот момент преступник получает все права, которые может иметь администратор системы и программист. Имея полный контроль, хакер может просмотреть компьютер дистанционно, похищая персональную информацию (например, данные для доступа к банковскому счету), и переписывая программное обеспечение под свои цели.
После того, как руткит установлен, он будет оставаться скрытым, но существует ряд признаков, что компьютер был заражен:
1. Антивирусная программа прекращает работу и/или ее не удается переустановить. 2. Некоторые программы не удается открыть. 3. Перестает работать мышь. 4. Не удается открыть браузер, и/или доступ в интернет заблокирован. 5. Скринсейвер или обои рабочего стола изменились, и их не удается поменять. 6. Сеть неожиданно становится очень загруженной, очень медленной, или вовсе отключается. 7. Вы не видите панели задач 8. Компьютер не загружается и/или зависает.
Опять же, кроме руткита никакой другой тип вредоносного программного обеспечения не может ускользнуть от обнаружения со стороны антивирусной программы или сетевого экрана, и успешно остаться необнаруженным после проникновения в компьютер.
Почему руткит тяжело обнаружить?
Эта программа занимается перехватом данных различных приложений. Иногда антивирус засекает эти действия сразу. Но зачастую, когда устройство уже подвергнуто заражению, вирус с лёгкостью прячет всю информацию о состоянии компьютера, при этом следы деятельности уже исчезли, а сведения обо всём вредном софте удалены. Очевидно, что в такой ситуации у антивируса нет возможности найти какие-либо признаки руткита и попытаться устранить его. Но, как показывает практика, антивирусные программы способны сдержать такие атаки. А компании, которые занимаются производством защитного ПО, регулярно обновляют продукцию и добавляют в неё необходимую информацию о новых уязвимостях.
AVZ
Мультифункциональный антивирусный сканер, созданный российским программистом Олегом Зайцевым. Способен найти и обезвредить вирус любого типа (включая модули SpyWare и Adware, трояны, черви). Оснащён специальным инструментом для эффективного выявления руткитов — настраиваемым модулем Anti-Rootkit.
Чтобы проверить Windows на наличие вирусов утилитой AVZ, выполните нижеприведённое руководство:
1. Перейдите на страницу для скачивания — z-oleg.com/secur/avz/download.php (официальный веб-ресурс разработчика).
3. После загрузки распакуйте архив: щелчок правой кнопкой → Извлечь всё.
4. Запустите с правами администратора файл AVZ (иконка «щит и меч»).
5. Обновите сигнатурные базы утилиты: в вертикальной панели кнопок, расположенной в правой нижней части окна, кликните по кнопке «земной шар». В новом окне нажмите «Пуск».
6. Выполните предварительные настройки на вкладках:
- «Область поиска»
— установите флажки возле разделов диска, которые необходимо проверить; - «Типы файлов»
— включите опцию «Все файлы»; - «Параметры поиска»
: в блоке «Эвристический анализ» передвиньте регулятор порога вверх (до значения «Максимальный уровень»), включите функцию «Расширенный анализ»; в «Anti-Rootkit» установите флаги возле всех надстроек (детектировать перехватчики, блокировать работу Rootkit User-Mode и Kernel-Mode).
7. Чтобы началась проверка разделов, нажмите по кнопке «Пуск».
Условно-бесплатное решение (триал — 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.
Чтобы задействовать утилиту:
1. Скачайте инсталлятор с офсайта (greatis.com/unhackme/): щёлкните на странице кнопку «Download».
2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).
3. Запустите файл unhackme_setup. Следуйте указаниям установщика.
4. Кликните ярлык утилиты на рабочем столе.
5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».
6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.
7. В отрывшемся меню выберите режим сканирования:
- «Онлайн проверка… » — подключение баз, находящихся на сервере разработчика;
- «… тест» — оперативное тестирование;
- «Сканирование… » — детектирование и обезвреживание в безопасном режиме.
Поиск руткитов на компьютере
Для поиска этих вредоносных программ можно использовать различные утилиты, специально созданные для этих целей. Неплохо справляется с этой задачей «Антивирус Касперского». Следует просто проверять устройство на наличие всякого рода уязвимостей и вредоносных программ. Такая проверка очень важна для защиты системы от вирусов, в том числе и от руткитов. При помощи сканирования обнаруживается вредоносный код, который не смогла засечь защита от нежелательных программ. Вдобавок поиск помогает найти уязвимые места операционной системы, через которые злоумышленники могут заниматься распространением вредоносных программ и объектов. Вы ищете подходящую защиту? Вам вполне подойдет «Касперский». Руткит можно обнаружить, просто включив периодический поиск этих вирусов в вашей системе.
Для более детального поиска подобных приложений необходимо настроить антивирус на проверку работы важнейших файлов системы на самом низком уровне. Также очень важно гарантировать высокий уровень самозащиты антивируса, так как руткит может запросто вывести его из строя.
Что за вирус руткит?
Руткит – это отдельный тип хакерских утилит, которые направлены на скрытие действия вирусов в файлах системы, отдельных папках.
Подобное ПО появилось более 20 лет назад и до сих пор существует благодаря постоянному обновлению. Rootkit может использоваться для сокрытия других вирусов или же выступать в качестве самостоятельного инструмента внедрения.
Основными “функциями” руткитов является:
- Организация несанкционированного доступа к ПК со стороны хакеров и злоумышленников.
- Помощь в сокрытии деятельности программ от антивирусных систем, встроенного сканера Windows.
- Полное отключение деятельности антивируса за счёт проникновения в файлы программы-защитника.
Чаще всего используется злоумышленниками для фишинга (воровства личных данных), заимствования мощности компьютера для майнинга, организации DDOS-атак, сокрытия реального местоположения при проведении незаконных операций в интернете.
Руткит – самый распространенный и опасный тип угроз
Несмотря на постоянную эволюцию и возможность скрытого воздействия, большинство антивирусов уже умеют определять деятельность вируса – благодаря углубленному поиску и умному анализу поведения тех или иных файлов.
Однако, это требует увеличения времени сканирования, а также использование дополнительной мощности, что в купе замедлять работу компьютера, иногда и вовсе отключает некоторые программы.
Проверка накопителей
Для того чтобы быть уверенным в безопасности компьютера, необходимо проверять при включении все переносные накопители. Руткиты могут легко проникнуть в вашу операционную систему через съемные диски, флешки. «Антивирус Касперского» подвергает моноторингу абсолютно все съемные информационные носители при подключении их к устройству. Для этого нужно просто настроить проверку накопителей и обязательно следить за обновлением вашего антивируса.
Основы руткитов
С точки зрения обычного человека, руткит представляет собой отвратительную, пугающую и даже опасную форму вредоносных программ. Сегодня это одна из постоянных и наиболее серьезных угроз безопасности. Он попадает в компьютер без разрешения пользователя, незаметно отключает антивирусную защиту и позволяет хакеру стать незаконным администратором, получающим полный виртуальный контроль и доступ к вашей системе. (И уже появляются руткиты для мобильных систем.)
Руткиты не различаются по тому, в какую операционную систему они вторгаются. Будь то Windows, Apple, или Linux, установленный руткит скрытно заменяет части операционной системы тем, что на первый взгляд выглядит нормально. Это позволяет ему оставаться незамеченным и выполнять наносящие ущерб действия. При включении компьютера для запуска системы используется BIOS (базовая система ввода-вывода), и руткит может также получить контроль и над ней.
Уязвимости системы безопасности (такие, как незакрытые лазейки), зараженные торренты или загружаемое программное обеспечение позволяют руткиту получить доступ к вашему компьютеру.
Удаление руткита
В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки — полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.
Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты. Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей. Более того, эта программа способна удалять более простые руткиты посредством функции лечения.
Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант — ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.
Как отключить поиск руткитов в Kaspersky
Ввиду подобных ограничений некоторые пользователи желают отключить опцию поиска руткитов в Касперском – но стоит ли это делать? На самом деле, без этого аспекта проверка файлов практически бесполезна – поможет найти только открытые заражения, которые уже редко используются продуманными хакерами.
В итоге – пользователь избавляется лишь от элементарных троянов и червей, а устройство продолжает подвергаться атакам в скрытом режиме. Поэтому, отключается функция на свой страх и риск – предлагаем простую инструкцию для этого:
- Открываем клиент Касперского, переходим на главный экран.
- Внизу располагается знакомая каждому шестерёнка – прожимаем и попадаем в настройки работы программы.
- В правом меню находим графу “Производительность”.
- Последний пункт “Поиск программ, предназначенных для скрытия следов вредоносной программы в системе” – то, что нужно.
- Убираем галочку слева, перезагружаем компьютер для повторного сканирования и сохранения данных.
Отключение поиска и проверки руткитов в Касперском
От них нельзя избавиться
Теперь вы знаете, что если ваша антивирусная программа перестает работать, или браузер не открывается, или ваш скринсейвер неожиданно изменился, то, скорее всего в вашем компьютере появился руткит.
В такой момент руткит придает совершенно новый смысл вашей жизни, когда ваш компьютер «идет в разнос», а вы понимаете, что давно не делали резервной копии.
Если руткит обнаружен, то чаще всего удалить его нельзя. Многие программы заявляют о предоставлении возможности удалить руткит, но в лучшем случае, такая возможность довольно незначительна. Как говорилось ранее, хакер, получивший права администратора, может делать с компьютером что угодно. Проверить каждую программу, каждый файл операционной системы на предмет остатков заражения, может оказаться почти невозможным.
Использование антивирусной программы и ручная очистка компьютера не являются вариантами решения проблемы. Можно заметить, что вариантом решения также не является операция восстановления системы. Руткит проникает в само ядро системы компьютера, так что любая точка восстановления, скорее всего, будет инфицирована им.
Единственный способ избавиться от проникшего в систему руткита заключается в стирании всей информации с жесткого диска с последующей установкой новой чистой копии операционной системы. Так как никогда неизвестно, удалось ли избавиться от руткита, то это единственный способ гарантировать устранение заражения.
Загрузка и установка
Первым делом нужно скачать установочный дистрибутив себе на компьютер. Где и как это сделать – каждый решает сам. Демо-версию можно загрузить с официального сайта, работать она будет 30 дней, после чего потребует активации. Когда дистрибутив будет на вашем компьютере, его нужно будет запустить.
После запуска вы увидите следующее окно:
При нажатии кнопки “Установка” вам откроется следующая вкладка с лицензионным соглашением, которое, как обычно, нужно будет просто принять. Далее ещё одно соглашение, после которого начинается непосредственно установка программы на компьютер. Она длится порядка 15 минут.
Программа будет достаточно долго запускаться, анализируя операционную систему и состояние компьютера в целом.
После этого Kaspersky Internet Security затребует ввести ключ лицензии. Если у вас он есть – вводите и активируйте программу, если же нет – выбирайте пробную версию.
Это последний шаг, после которого на вашем компьютере будет установленная программа KIS 2020. Вы попадете в главное меню и обнаружите, что базы антивируса сильно устарели. Связано это с тем, что в установочном дистрибутиве содержится минимальный набор информации с расчетом на использование интернета для регулярного обновления антивирусных баз. Что вам и нужно будет сделать: нажимаем на обновление и ждем.
Виды руткитов
Руткиты условно можно разделить на две основные категории:
- Уровня пользователя
— обладают на компьютере правами наравне с другими приложениями. Они вмешиваются в другие процессы и используют их память. Наиболее распространенный вид. - Уровня ядра
— проникают в систему и получают почти безграничные возможности доступа к любым процессам. Встречаются заметно реже, видимо, потому, что их сложнее создать. Они хуже обнаруживаются и удаляются.
Примеры распространенных приложений:
- Alureon;
- TDSS;
- Necurs.
Кроме основных, существуют более редкие формы — буткиты. Они преобразуют загрузчик и перехватывают управление
не дожидаясь запуска операционной системы. В связи с возрастающим значением смартфонов, в последние несколько лет можно встретить руткиты, работающие на Android.
Как удалить руткит
Kaspersky TDSSKiller.
Бесплатная утилита TDSSKiller от Лаборатории Касперского предназначена для лечения системы, зараженной вредоносными программами семейства Rootkit.Win32.TDSS, буткитами и другими известными руткитами. Она быстра в работе и не требует установки.
Чтобы бесплатно скачать TDSSKiller переходим на официальный сайт support.kaspersky.ru
После запуска программы можно сразу запустить проверку или добавить объекты для сканирования. Для этого следует перейти во вкладку “Изменить параметры проверки” и установить галочки у необходимых пунктов.
Dr.Web CureIt.
С помощью данной утилиты можно проверить компьютер не только на наличие руткитов, но и на другие вредоносные объекты с последующим лечением. Программа Dr.Web CureIt бесплатна и не требует установки.
Сегодня Вы узнаете, что такое руткит
и
как удалить руткит
со своего компьютера, обезопасив свой компьютер от этих вредоносных программ.
Что такое Руткит?
Руткит (RootKit) — это программа, сценарий либо некоторый набор программных инструментов, который предоставляет злоумышленнику (владельцу руткита) полный доступ к компьютеру другого пользователя или же, в худшем случае, сети в целом. Под «полным доступом» здесь непосредственно имеется в виду доступ уровня главного администратора (Head Administrator, SuperWiser)
. Стоит понимать,
что Руткит — это
не просто опасная утилита, она действует таким образом, чтобы внедрить на ваш ПК вредные «дополнения» или приложения: трояны, шпионское ПО и прочие вирусы.
Почему руткиты так опасны?
Основная форма атаки руткитов — скрытность. Они будут скрываться глубоко в недрах вашего компьютера. Поскольку они имеют доступ уровня администратора, они осуществлять, например, блокировать ваш Windows-поиск и скрыть любую информацию о RootKit»ах, контролировать AntiVirus и в прямом смысле «приказать» ему игнорировать Rootkit, скрывать из списка активных процессов и многое другое!
Самый известный Руткит был установлен на некоторые устройства Sony. Sony спрятал RootKit на компьютерах людей как часть своей стратегии цифрового управления правами. Это предоставило им эффективный контроль над компьютерами пользователей. Эксперт по вопросам безопасности Sysinternals обнаружил данный RootKit и это вызвало огромный резонанс в мировом сообществе. Sony предлагало загрузить пользователям RootKit как дополнительное ПО, а также выставляло его в качестве необходимого процесса. Это подтверждает факт, что RootKit очень трудно обнаружить, и это делает их опасными.
Как удалить Руткит
Ответить на этот вопрос очень трудно. Не ожидайте, что ваш антивирус или фаервол со 100% вероятностью поможет Вам здесь. Самые лучшие RootKit могут легко победить Ваше антивирусное программное обеспечение, так что для того, чтобы удалить руткит
Вам нужны специальные инструменты.
Для этого существуют специальные программы и сервисы. Одним из отечественных разработчиков можно смело считать Лабораторию Касперского и специально написанный «киллер» руткитов, который можно скачать по этой ссылке . Да и в целом их продукты довольно качественны, так можете , а затем , что на самом деле довольно просто.
Похожие новости:
Безопасность Безопасность
И рассказывал, что это такое, перечислял основные симптомы заражения и давал рекомендации для обеспечения безопасности компьютера. Если вы не читали ее, обязательно с ней ознакомьтесь. Ведь как говорится, предупрежден – значит вооружен.
Потому как сегодня мы уже будем говорить о том, как удалить руткиты благодаря использованию специальных . Все действия будут выполняться вручную.
Утилиты, рассмотренные ниже абсолютно бесплатны и не конфликтуют с установленным антивирусным ПО. Поэтому смело их используйте. Желательно предварительно загрузившись через безопасный режим.
Инструмент chkrootkit (Check Rootkit).
chkrootkit (Check Rootkit) — является Unix-программой которая призвана помочь системным администраторам проверить свою систему на наличие известных руткитов. Это скрипт с помощью обычных инструментов UNIX / Linux (таких как strings и grep команд) дают возможность искать основные системные программы для сетей/ подписей сравнивая в файловой системе /proc файлов с выводом команды ps (состояние процесса), чтобы искать разные расхождения. Утилита может быть использована с запуском «спасательного диска» (как правило, Live CD) или утилиту можно установить в систему.
Утилита имеет в себе модули для различного сканирования:
* chkrootkit — Модуль который проверяет вашу ОС.
* ifpromisc — Служит для поиска интерфейса (ов), которые работают в режимах захвата пакетов.
* chklastlog — Служит для обнаружения различных фактов удаления записей из журнального файла lastlog.
* chkwtmp — Служит для обнаружения фактов удаления записей из журнального файла wtmp.
* check_wtmpx — Служит для обнаружения фактов удаления записей из журнального файла (только в Solaris).
* chkproc — Ищет следы от троянов LKM (Linux Kernel Module — модуль ядра Linux.)
* chkdirs — Ищет следы от троянов LKM.
* strings — Утилита для быстроты поиска и замены текстовых строк.
В сhkrootkit имеется очень хорошая база для обнаружения различного нежелательного ПО и руткитов, я приведу список и покажу на рисунке внизу.
Список что может найти chkrootkit
Установка chkrootkit для Debian/Ubuntu/Linux Mint.
Чтобы запустить установку достаточно выполнить команду:
# sudo apt-get install chkrootkit
Установка chkrootkit на RedHat/CentOS/Fedora
Для начала нужно подключить и установить репозиторий EPEL, затем выполнить команду:
# yum install chkrootkit
Установка для других операционных системах.
Идем на официальный сайт и качаем последнюю версию исходников программы chkrootkit, это можно сделать следующим образом:
# cd /usr/local/src # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
После чего нужно распаковать архив и скомпилировать утилиту:
# tar xfvz chkrootkit.tar.gz # cd chkrootkit* # make sense
Как только программа скомпилируется, запускаем ее и сканируем.
Использование утилиты chkrootkit.
Чтобы запустить утилиту, достаточно выполнить команду ( только нужно запустить ее от рута):
# chkrootkit
Опции
-х : Показывает справку о работе с программой. -V : Покажет версю утилиты. -l : Выведет список проверок которые поддерживает программа. -d : Режим отладки. -q : Опция которая может задать минимальный вывод информации. -x : Опция с помощью которой задается вывод дополнительной информации. -r : <�каталог>Задается имя каталогов для использования в качестве корневого (root). -p : dir_1:dir_2:dir_N С помощью этой опции задаются пути для внешних программам, используемым chkrootkit. -n : С помощью этой опции можно отключить просмотр всех смонтированных каталогов NFS.
Примеры использования:
1. Например, мы хотим начать поиск троянских программ в ps и ls и обнаружение интерфейсов которые работают в режиме захвата пакетов, то утилиту нужно запустить так:
# chkrootkit ps ls sniffer
2. Нужно найти все подозрительные строки в бинарных файлах, то нужно выполнить следующую команду:
# chkrootkit -x | more
Будет вывод осуществляться по страницам. Как по мне это удобно очень.
3. Нужно найти все подозрительные строки в бинарных файлах по имени «bin»:
# chkrootkit -x | egrep ‘^/bin’
Утилита chkrootkit может использовать и другие утилиты для проверки, такие как awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, uname. Если эти утилиты недоступны в пути поиска, то нужно указать путь к ним с помощью опции -p.
4. Команда что будет приведена ниже будет выполнять тесты chkrootkit с использованием утилит которые хранятся в директории /bin на компакт-диске и смонтированы в системе как /cdrom:
# chkrootkit -p /cdrom/bin
5. Можно смонтировать раздел с помощью команды:
# chkrootkit -r /mnt1
Это нужно когда, например, вам нужно просканировать ХДД, на другом ПК на котором нет зараженных файлов ( если вы уверены на 100%).
6. Так же можно перенаправить вывод команды в файл. Например вы хотите что бы посте сканирования вашей системы вам отправился отчет на мыло:
0 3 * * * cd /usr/local/bin; ./chkrootkit 2>&1 | mail -s «chkrootkit output for HostName» captain
Каждые день в 3.00 часа будет выполняться проверка, после окончания будет выслан отчет локальному юзеру captain на мыло.
7. Тест LKM позволяет увидеть в вашей ОС все процессы которые скрыты от программы ps:
0,10,30 * * * * cd /usr/local/bin; ./chkrootkit lkm 2>&1 | mail -s «LKM search for HostName» [email protected]
Отчет будет выслан на мыло.
8. С тестом sniffer можете видеть в своей сети все компьютеры и интерфейсы которые работают в режиме захвата пакетов:
1,5,11,16,21,26,31,36,41,46,51,56 * * * * cd /usr/local/bin; ./chkrootkit sniffer 2>&1 | mail -s «Packet sniffer search result for HostName» captain