Что такое руткит и как его удалить? Руткит - описание типа вируса

Здравствуйте админ, к вам вопрос: Как удалить руткиты? Подозреваю, что у меня в операционной системе завелись подобные зверьки. Месяц назад установил Windows со всеми программами и работал всё это время без антивируса, всё выбирал, какой установить, платный или бесплатный. Короче два месяца обходился тем, что периодически сканировал систему бесплатными антивирусными утилитами и , а теперь вот не могу их запустить, выходят ошибки при запуске. Мало того, теперь не устанавливается, компьютер зависает на половине установки и выходит критическая ошибка, далее синий экран. А вчера провайдер и вовсе отключил мне интернет, сказал, что мой компьютер рассылает спам. Вот такие дела!

На форумах говорят, что если в системе находится руткит, то такую гадость может проделать он. Ему же нужно скрыть деятельность определённой вредоносной программы, которую сразу обнаружит антивирусный сканер или установленный антивирус. Какой программой можно удалить руткит или проще переустановить Windows?

В интернете советуют много чего, непонятно что и выбрать. Например снять жёсткий диск, подключить к другому компьютеру и просканировать его хорошим антивирусом, но у меня только один компьютер (ноутбук). Ещё советуют проверить систему утилитой RootkitRevealer, но она вроде не работает с Windows 7.

Как удалить руткиты

Друзья, в первой части статьи мы узнаем, что такое руткиты и какой вред они могут принести нашей операционной системе. Во второй части, мы с вами удалим руткиты с помощью антивирусного диска от Microsoft - Windows Defender Offline и диска Kaspersky Rescue Disk от «Лаборатории Касперского». В конце статьи, мы удалим руткиты с помощью специально созданных для этих целей бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER.

• Друзья, открою Вам секрет, в настоящее время с руткитами идёт настоящая война, просто это не афишируется и если вам посчастливится словить серьёзный и только что написанный руткит, справиться с ним будет очень нелегко даже профессионалу. Поэтому, не забывайте создавать и не отключайте никогда . Устанавливайте только 64-разрядные Windows 7 или Windows 8, так как в 64-битной операционной системе руткиту сложнее закрепиться.

Что из себя представляет руткит? Руткит – это программа, маскирующая нахождение в операционной системе других вредоносных программ и всё, что относится к ним (процессы, ключи в реестре и так далее), происходит это путём перехвата и модификации низкоуровневых API-функций. Ну а работающая в нашей системе вредоносная программа может сделать много плохих дел, например ваш компьютер станет частью «ботнета» -компьютерной сети, состоящей из большого количества заражённых компьютеров. Злоумышленники могут использовать ресурсы заражённых компьютеров по своему усмотрению (рассылать спам, участвовать в DDoS-атаке на определённые сайты и так далее). Это скорее всего и произошло с компьютером нашего читателя.

Как удалить руткиты при помощи антивирусного диска По моему мнению, очень хорошее оружие от руткитов, да и вообще от всех вирусов, это антивирусный диск. В первую очередь можно использовать антивирусный диск от Microsoft - ,

он специально заточен для поиска и удаления руткитов и практически всех существующих вредоносных программ. Ещё бы я посоветовал антивирусный диск от «Лаборатории Касперского».

Дело в том, что когда вы загружаете ваш компьютер с антивирусного диска и проверяете им заражённую систему, вредоносные программы никак не могут этому воспрепятствовать, так как Windows в это время находится в нерабочем состоянии и соответственно все вирусные, файлы, находящиеся в системе, видны как на ладони, а значит легче обнаруживаются и нейтрализуются.

Как скачать данные антивирусные диски в виде образа, прожечь на болванку, загрузить с них компьютер и удалить руткиты, вы можете прочесть в наших пошаговых статьях, ссылки приведены выше. Как удалить руткиты с помощью бесплатных антивирусных утилит Очень эффективны в борьбе с руткитами несколько бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER. Первая рассматриваемая нами утилита, это TDSSKiller от «Лаборатории Касперского», вторая Dr.Web CureIt и третья AVZ тоже от российских разработчиков антивирусных программ, четвёртая GMER.
Чтобы скачать TDSSKiller, идём по ссылке http://support.kaspersky.ru/5350?el=88446# , жмём «Как вылечить зараженную систему», нажимаем «Скачайте файл TDSSKiller.exe »

Запускаем его, можете обновить программу.

Начать проверку.

TDSSKiller обнаруживает нижеперечисленные подозрительные сервисы или файлы:
Скрытый сервис – скрытый ключ в реестре;
Заблокированный сервис – недоступный ключ в реестре;
Скрытый файл – скрытый файл на диске;
Заблокированный файл - файл на диске невозможно открыть обычным способом;
Подмененный файл - при чтении выходит подменное содержимое файла;

Rootkit.Win32.BackBoot.gen – возможно заражена загрузочная запись MBR.

Если у вас установлена программа Daemon tools, по окончании сканирования программа выдаст такое окно - Подозрительный объект, средняя опасность – Cервис: sptd.

Cервис: sptd является сервисом программы - эмулятора дисковода Daemon tools.
Чтобы точно убедиться в том, что обнаруженный файл не является руткитом или наоборот, скопируйте обнаруженные подозрительные объекты в карантин, выбрав действие Скопировать в карантин , файл при этом не удалится из системы.
Найти карантин можно здесь C:\TDSSKiller_Quarantine
Затем открываем сайт VirusTotal.com , далее жмём Выберите файл, откроется проводник

Идём в карантин и выбираем файл для проверки. Открыть и Проверить.

Как видим, только одна антивирусная компания определила файл sptd.sys как вирус PAK_Generic.009.

Значит скорее всего данный файл вирусом не является и мы с вами это прекрасно знаем. В других, более спорных случаях, вы можете найти информацию в интернете или отправить файлы в Вирусную Лабораторию Касперского. Как удалить руткиты с помощью утилиты Dr.Web CureIt Утилиту Dr.Web CureIt скачиваем по этой ссылке http://www.freedrweb.com/cureit/ , продвигаемся вниз странички и жмём Скачайте бесплатно.

Скачать Dr.Web CureIt с функцией отправки статистики.

Отмечаем пункт "Я принимаю условия Лицензионного Соглашения" и жмём Продолжить.

Сохраняем и запускаем файл Dr.Web CureIt. Возникает окно «Запустить Dr.Web CureIt в режиме усиленной защиты, нажимаем "Отмена". В появившемся окне отмечаем пункт «Я согласен принять участие… Продолжить.

Выбрать объекты для проверки .

Отмечаем пункты Оперативная память и Руткиты и жмём Запустить проверку .

Если руткиты обнаружены не будут, советую вам отметить все пункты и проверить весь ваш компьютер на вирусы, лишним это не будет.

Как удалить руткиты с помощью утилиты AVZ Хорошая и очень быстро работающая антивирусная утилита от Олега Зайцева, быстро найдёт и удалит различные SpyWare и руткиты в вашей операционной системе. Но предупреждаю Вас, программа работает жёстко и иногда может принять за вирус безобидный файл, поэтому перед применением AVZ, создайте . Если AVZ найдёт вредоносный файл, не торопитесь его удалять и прочтите все рекомендации из раздела Советы по лечению ПК http://z-oleg.com/secur/advice/
Переходим по ссылке http://z-oleg.com/secur/avz/download.php , нажимаем Скачать (8.4 Мб, базы от 30.01.2013).

Скачиваем архив программы и разархивируем его. После разархивации заходим в папку с программой и запускаем файл avz.exe .

Отмечаем для проверки диск с операционной системой, обычно C:, ещё отмечаем пункт Выполнить лечение , далее идём в Параметры поиска

и отмечаем пункт Детектировать перехватчики API и RooTkit и нажимаем Пуск , проверка началась.

Как удалить руткиты с помощью утилиты GMER Утилита GMER применяется очень многими пользователями для борьбы с руткитами, утилита на английском, но мы с вами разберёмся. Также основываясь на личном опыте работы с программой, советую вам перед работой создать точку восстановления или сделать бэкап всей операционной системы, если GMER обнаружит серьёзную опасность, может вызвать огонь по своим или применить тактику выжженной земли.
Идём на сайт http://www.gmer.net/ , нажимаем Download.EXE

И скачиваем утилиту, если хотите, можете скачать её в архиве or ZIP archive: gmer.zip (369kB). Не удивляйтесь, что при скачивании утилиты название у неё будет отличным от GMER , например p3f14z2c.exe, делается это специально, так как находящиеся в вашей системе руткиты могут распознать утилиту и вам не удастся её запустить.
Итак, скачали GMER и запускаем её. Сразу после запуска утилиты ваша операционная система зависнет на 5-10 секунд, происходит быстрое сканирование основных системных файлов и процессов.
Отмечаем для сканирования диск C: и нажимаем Scan , начнётся сканирование Windows на предмет нахождения руткитов. Если запустить GMER по умолчанию в режиме «Quick Scan» (быстрое сканирование), произойдёт сканирование основных системных файлов на диске с операционной системой, в первую очередь можете воспользоваться им.

Когда сканирование закончится, программа выдаст вам результат, если руткиты будут найдены, они будут отмечены красным шрифтом. Если вы захотите удалить какой-либо файл, щёлкните на нём правой мышью и выберите в появившемся меню нужное действие.

Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу... И жить спокойно.

Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать хакерские атаки невиданной ранее мощности. В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ - руткиты

Что такое руткиты?

Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки - незаметно для антивирусов и других защитных программ захватить чужой компьютер. У таких руткитов, как Hacker Defender , в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать «замаскированных вредителей» (см. врезку на стр. ??) и использовать их по своему усмотрению. Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.

Хитрости руткитов

Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.

Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек - *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.

«Захват власти » руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.

Как маскируются руткиты?

Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам - характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя». Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения - этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его - уничтожить.

Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»

Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.

Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные

Как распространяются руткиты?

• Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
• Еще один путь распространения - подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров

«Самодельные» руткиты

Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»... Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:

• красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
• считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
• скрывать свои вредоносные функции - программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».

Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».

Как избавиться от руткитов?

Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.

Обобщение результатов тестирования

Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».

Распознавание руткитов

В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.

Удаление руткитов

Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.

Слишком сложное управление

То, что обнаружение скрытого вредоносного «софта» - дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя...

Итог

К нашей радости, победитель теста - Gmer 1.0 - и второй призер, AVG Anti-Rootkit , обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И Gmer , и AVG Anti-Rootkit удаляют большую часть найденных «вредителей», но все-таки не всех... Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».

Как вы знаете, первые вирусы и трояны появились много лет назад. Сегодня это можно сравнить с эпидемией — в сети присутствует такое количество вредоносных файлов, что защитить свою систему от них крайне сложно. Тем не менее, существующие ныне антивирусы вполне неплохо справляются с вредоносными файлами, хотя даже они зачастую не в состоянии защитить ПК пользователя от руткитов.

Что это такое?

Изначально вирусы создавались едва ли не ради развлечения, однако затем их решено было применять для различных действий. К примеру, хакеры могут получить доступ к огромному количеству компьютеров и с их помощью организовать массированную DDoS-атаку или, например, начать рассылать спам в огромных масштабах.

Для захвата компьютера пользователя и применяются так называемые руткиты. Это вредоносное ПО, которое не только прячется от «глаз» антивируса, если такой присутствует на вашей машине, но и скрывает другое вредоносное программное обеспечение.

Руткиты достаточно легко обходят стандартную защиту ПК в виде того же брандмауэра и прячутся в недрах операционной системы таким образом,что бы их было практически невозможно обнаружить — в тех местах, до которых не доходит. В самом рутките может быть спрятано самое различное программное обеспечение, начиная от кейлоггеров и заканчивая специальным ботом, который ворует информацию, хранящуюся в браузере. А именно в браузере можно обнаружить весьма интересные данные, включая даже пароли от кредитных карт (именно поэтому я всегда напоминаю о том, что сохранять в интернет-обозревателях важную информацию нельзя).

Кроме того, Руткит часто имеет функцию бэкдора, что позволяет злоумышленнику подключаться к нему дистанционно. Что это значит? А то, что злоумышленник может добавлять и изменять функции вредоносного ПО, а в некоторых случаях даже способен управлять вашим компьютером, например, с целью рассылки того же спама.

Самое опасное то, что распознать руткит, если он остался незамеченным, в дальнейшем будет совсем непросто. А он, между тем, будет контроллировать ваш ПК…

Распространение и маскировка руткитов

«Подцепить» руткит сложности не представляет. Для этого достаточно скачать какой-нибудь файл с неизвестного ресурса, в котором в том числе будет находиться руткит. Зачатую активация вредоносного ПО происходит в тот момент, когда пользователь пытается открыть файл, который он скачал.

Нередко заражении происходит даже в том случае, если вы не скачиваете вообще никаких файлов из сети. Дело в том, что некоторые сайты подвергаются хакерской атаке, в результате чего они модифицируются таким образом, что бы при открытии странички руткит автоматически попадал на компьютер пользователя через «дыры» в браузере.

В общем, с этим проблем быть не должно, если у вас установлен антивирус, который, впрочем, не является панацеей. Он определяет наличие руткита по так называем сигнатурам — цепочкам кода в теле вредоносного файла, на основании чего моментально определяет, что этот файл опасен для системы и блокирует его. Именно поэтому так важно, что бы антивирус обновлялся ежедневно, ведь в сети каждый день появляется новое вредоносное ПО.

Существует и другая возможность определения руткитов — эвристический анализ, основанный на поведении файлов. К примеру, если файл начал вдруг ходить по системе и удалять ее различные компоненты, то с 99% точностью можно сказать, что это вирус или руткит. АВ его уничтожит или удалит.

Впрочем, не все так просто. Дело в том, что руткиты часто «прикидываются» вполне безопасными процессами, в результате чего антивирус обходит их стороной. А нередко они и вовсе «захватывают» антивирус, управляя им по своему усмотрению.

Вариации руткитов

Стоит отметить, что на текущий момент существует несколько вариаций руткитов. Например, те, которые находятся на уровне пользователя, получают те же права, что и любое приложение, запущенное на компьютере. Это самый распространенный вид руткитов, который не так сложно выявить. А вот руткиты на уровне ядра распознать очень сложно, к тому же в этом случае злоумышленник получает максимальный доступ к вашему ПК, что позволяет ему делать с ними практически все, что угодно. Однако у такого вида руткитов есть одна особенность — они очень дороги, поэтому используются редко.

В последнее время набирают обороты руткиты для , а также буткиты, которые получает управление компьютером еще до того, как загружается операционная система.

Наибольшем успехом пользуются самодельные руткиты, которые создаются с помощью специального набора инструментов, который распространяется в интернете.

Удаление руткитов

Основная проблема в удалении руткитов заключается в том, что они противодействуют своему обнаружению за счет нескольких различных методик, поэтому обычный антивирус здесь помогает не всегда. Необходимо применять специальные программы, нацеленные именно на поиск руткитов с различными способами анализа. Стоит также отметить, что удаление руткита — процесс не всегда простой и приходится удалять достаточно большое количество файлов. Нередко руткиты настолько сильно повреждают операционную систему, что восстановить ее невозможно и может потребоваться ее полная переустановка.

Впрочем, в большинстве случаев хватает вполне стандартного ПО для поиска руткитов, которое зачастую распространяется бесплатно. Например, известная программа Gmer отлично справляется с возникшими трудностями.

Вы уверены, что являетесь единоличным хозяином своего компьютера? Если есть подозрение, что он живет своей жизнью, то самое время задуматься, не шпионят ли за вами.

Первые подобные программы появились около 20 лет назад, преимущественно на Unix, откуда и пришел термин руткит . Root переводится как «корень» и используется в данном контексте для обозначения роли суперпользователя, имеющего неограниченный доступ к системе. Kit – набор, соответственно, rootkit – набор для получения неограниченного доступа. Наиболее распространены на Windows, однако сейчас все активнее продвигаются на Android.

К какому типу вредоносных программ относятся руткиты

Множество пользователей ПК не знает, что такое руткиты и чем они опасны, думая, что это обычные вирусы. На самом деле все гораздо сложнее. Изначально этот вид вредоносных программ задумывался, как некое «дополнение» к существующим вирусам и шпионам, делая их присутствие и вмешательство в систему незаметными для жертвы.

• Не пропустите:

Со временем руткиты эволюционировали и сегодня представляют собой полноценный набор софта для осуществления практически любых планов злоумышленника. Кража информации, паролей, данных банковских карт, слежка за действиями в Сети, установка и удаление софта – это далеко не все, что можно осуществить с их помощью. Фактически, они дают безграничные возможности по дистанционному управлению зараженным ПК через его сетевой порт.

Таким образом, руткиты – это самостоятельный класс вредоносных программ, наряду с вирусами, троянами и червями. «Способ заражения» ничем не отличается: чужие флешки, посещение неблагонадежных сайтов, файлы в полученной почте… Обычно достаточно одного небольшого файлика, который установится глубоко внутри операционной системы, а затем уже незаметно для пользователя «подтянет» дополнительный зловредный софт.

Чем опасны руткиты

Разобравшись, что такое руткиты, давайте выясним, чем они опасны. Прежде всего, это их неуязвимость для обнаружения стандартными вирусами и фаерволами, которые стоят у большинства пользователей. Внедряясь в системные файлы или память, они могут годами оставаться незамеченными и делать свою «черную» работу.

• Это интересно:

Как уже упоминалось, установка «правильного» руткита приводит к тому, что действия злоумышленника по управлению вашим компьютером ограничиваются лишь его фантазией. Даже если у вас нет ценных для мошенников учетных данных или банковских карт, это не значит, что вы им неинтересны . Хакеры могут использовать ваш ПК для совершения противоправных действий, отвечать за которые придется вам.

Часто злоумышленники создают целые сети из зараженных ПК, внедряя в них дистанционно управляемых ботов. С их помощью осуществляются массовые DDoS-атаки, способные обрушить самые надежные сервера. Другими словами, вы можете играть в «Веселую ферму», даже не подозревая, что ваш компьютер в это время участвует в хакерской атаке на сайт Белого дома.

Поиск и удаление руткитов

Перед тем, как удалить вирус, его нужно там отыскать, что не всегда легко. Поэтому, если есть подозрение на заражение, а данные на дисках не представляют особой ценности, то самый простой способ избавиться от «заразы» – переустановить систему с полным форматированием.

Если же вы готовы «принять бой», тогда вам понадобится софт для удаления руткитов. Из хорошо зарекомендовавших себя стоит упомянуть RootkitBuster , Anti-Rootkit , TDSSkiller , Bitdefender Rootkit Remover . Все они довольно просты в использовании, большинство русифицированы.

Руткит — это набор программных средств, которые при установке на компьютер, обеспечивают удаленный доступ к ресурсам, информации и файлам системы без ведома владельца. Правоохранительные органы и родительские программы “няня” используют различные типы руткитов для тайного мониторинга активности на компьютерах для целей наблюдения, но злоумышленники могут также установить пакет программ rootkit на компьютеры ничего не подозревающих жертв.
Слово “руткит” пришло из операционной системы Unix (ОС), которая была распространена до Microsoft™ и Windows™. Linux и распространение программного обеспечения Беркли (БСД) являются производными от ОС Unix. “Корневой” уровень системы Unix сродни правам администратора ОС Windows. Пульт дистанционного управления — это пакет программного обеспечения был передан как “Кит”, давая нам название “руткит”.

Руткиты создавали шумиху с начала 1990-х годов. Тип руткитов, которые атакуют компьютеры Windows™ добавляют себя в ядро операционной системы. Отсюда rootkit может изменить саму операционную систему и перехватывать звонки в системе (системные запросы для получения информации), предоставляя ложные ответы, чтобы замаскировать присутствие руткита. Поскольку руткит скрывает свои процессы от операционной системы и в системном журнале, его трудно обнаружить.

Злоумышленник может установить руткит на компьютер с помощью различных средств. Руткиты могут быть доставлены как трояны или даже спрятаны в, казалось бы, доброкачественном файле. Это может быть графический файл или программа, которая распространяется посредством электронной почты. У жертвы нет способа узнать, что будет установлено, нажав на рисунок или программу. Руткиты могут также быть установлены с помощью серфинга в Интернете. В всплывающем окне можно указать, например, что программа необходима для просмотра сайта, маскируя руткит как законный плагин.

Как только руткит устанавливается, хакер может тайно общаться с целевым компьютером, когда он онлайн. Руткит обычно используется для установки как скрытая программа и создаёт “черные ходы” в системе. Если хакер хочет получить информацию, то он может установить программу кейлоггер. Эта программа будет тайно записывать все типы действий онлайн, предоставляя результаты в интерлопер при следующей возможности. Кейлоггер программы могут раскрыть имена пользователей, пароли, номер кредитной карты, номера банковских счетов и другие конфиденциальные данные, для потенциального мошенничества или кражи личных данных.

Другие вредоносные программы которые используют для руткитов включают ущерб несколько сотен или даже сотен тысяч компьютеров для формирования отдаленной ‘руткит сети’ которая называется ботнет. Ботнеты используются для рассылки распределенных отказов в обслуживании (DDoS) атаки, спама, вирусов и троянов на другие компьютеры. Эта деятельность, если проследить отправителя, может привести к правовой конфискации компьютеров от невинных владельцев, которые понятия не имели, что их компьютеры были использованы для незаконных целей.

Чтобы защитить свой компьютер от руткитов, эксперты советуют, что безопасность можно поддерживать с помощью анти-вирусных и анти-шпионских программ. Установка исправлений (патчей операционной системы безопасности), как только они становятся доступными, и удалят спам, не открывая его. При серфинге в Интернет разрешать только надежным сайтам для установки программного обеспечения, и не нажимать на подозрительные баннеры или всплывающие окна. Даже кнопка “спасибо” может быть уловкой, чтобы скачать руткит.

Также будет мудрым, чтобы использовать одну или более анти-руткит-программ для сканирования на наличие руткитов хотя бы раз в неделю. Хотя некоторые руткиты могут, предположительно, быть безопасно удалены, общая рекомендация — отформатировать диск и восстановить систему, чтобы убедиться, что все rootkit удалены и все процессы ОС функционируют нормально. Если дело дойдет до этого, чистое резервное копирование позволит сделать такую работу намного легче.