• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Осторожно - руткит!

    Руткит (от англ. rootkit, т.е. «набор root’a») – одна или несколько программ, предназначенных для сокрытия следов присутствия злоумышленника или шпионской программы, и перехватывающих системные функции компьютера. Руткиты в состоянии прятать не только себя, но и любые описанные файлы и папки, которые внесены в его конфигурацию. Благодаря этому свойству, появилась возможность установки необходимых для руткита драйверов, служб и библиотек, которые также не обнаруживаются обычным пользователем.

    Руткиты не только маскируются сами и маскируют вредоносные программы, но и создают дыры в системе безопасности и «черные ходы» для тайной передачи данных. 

    Заражение компьютера обычно происходит при запуске кажущегося безвредным файла или открытии страницы заражённого сайта. После активации руткит забирается в глубины компьютера и вывести его оттуда становиться крайне проблематично. Проблема примерно та же, что и с клавиатурными шпионами: обнаружение. Обнаружить руткит при помощи стандартных антивирусных программ практически невозможно.

    Следующим шагом руткитов является «захват власти»: подчинение компьютера нуждам вредоносной программы. Когда это действие выполнено – компьютер превращается в инструмент для злоумышленника. Он может рассылать спам или использовать его в ботнете.

    руткит

    Руткиты можно классифицировать следующим образом:

      • По уровню привилегий:

         o Уровень пользователя;

         o Уровень ядра;

      • По принципу действий:

         o Изменение алгоритма выполнения системных функций;

         o Изменение системных структур данных.

    Программы руткиты

    Самым известным представителем среди руткитов является Hacker Defender. Это ПО работает достаточно стандартно для руткитов: работает в режиме пользователя, маскирует себя и другие вредоносные программы, в состоянии перехватывать сетевой трафик и использовать любое приложение работающее в Интернете для связи с хакером.

    Так же популярны FU Rootkit – скрывает нужные ему процессы и драйверы устройств; HE4HOOK; NT Rootkit – уже достаточно старая, но до сих пор актуальная среди взломщиков программа; Vanquish – dll-приложение, позволяющее прятать файлы, каталоги, ключи реестра, а также протоколировать пароли.

    руткит

    Обнаружение руткитов

    Найти руткит возможно обнаруживая активную маскировку, которую применяют сами программы-шпионы. Для этого необходимо обратиться к списку файлов, процессов и сетевых соединений напрямую от внутренних функций ядра и сравнить эти данные с тем, что показывают высокоуровневые API-функции ОС. Если данные совпадают, значит компьютер чист. А вот если имеются расхождения – то в системе засела зараза.

    Для целенаправленного поиска вредоносных программ существуют специализированные средства (Rootkit Revealer, TDSSKiller, Anti-Spy Info, SoftICE). 

    Удаление руткитов

    Как показывает практика, в отличие от большинства привычных вирусных систем, обнаружить руткит, ещё не значит избавиться от него. Зачастую, удаление руткита – задача ещё более сложная чем его поиск.

    Самый первый и самый простой способ – переименовать обнаруженный файл и сразу перезагрузиться. Причина для переименования в том, что только это действие Windows позволяет делать с запущенными файлами. Удаление не пройдёт. Переименование и перезагрузка нужны для выгрузки процесса из памяти. Загрузиться опять ему не позволит новое имя файла, поскольку путь в реестре остался прежним.

    Следующий способ, если первый не сработал – загрузка с LiveCD, поддерживающего NTFS-разделы и удалить всё лишнее.

    Если же и это не помогло удалить руткит – следует заказать услучи профессионалов ИБ или же переустановить операционную систему, предварительно отформатировав винчестер.