Что такое руткиты. Ещё утилиты для поиска и удаления руткитов

Происхождение термина "руткит " корнями уходит в операционные системы семейства UNIX. В английском варианте "rootkit " состоит из двух слов: root - суперпользователь (аналог администратора в Windows) и kit - набор программных средств, позволяющий злоумышленнику получить "привилегированный" доступ в систему - естественно, без согласия настоящего администратора. Первые руткиты, появились в начале 90-х годов и долгое время были особенностью исключительно UNIX-систем, но хорошие идеи, как известно не пропадают, и конец XX века ознаменовался уже тем, что массово начали появляться вирусные программы подобного рода, функционирующие под Windows.

Кто и зачем использует руткиты

Основная функция, которую выполняет руткиты - это обеспечение удаленного доступа в систему. Иными словами, они дают своим создателям практически безграничную власть над компьютерами ничего не подозревающих пользователей. Внедряясь в систему, такие вредоносные программы могут легко перехватывать и модифицировать низкоуровневые API функции, что позволяет им качественно скрывать от пользователя и антивирусного ПО свое присутствие на компьютере.

Нельзя сказать, что руткит исключительно вредоносная программа. По сути, ими является подавляющее большинство программных средств защиты от копирования (а так же средств обхода этих защит). Взять к примеру печально известный случай, когда японская корпорация Sony встраивала утилиты подобного рода в свои лицензионные аудио-диски.

Как распространяются руткиты

Самый популярный способ распространения: через программы обмена мгновенными сообщениями. Попав на компьютер, руткит рассылает сообщения, содержащие вредоносные вложения, всем, чьи адреса есть в списке контактов. Существует и более современный подход, который заключается во вставке вредоносного кода в файлы PDF. Для активизации достаточно просто открыть файл.

Какими бывают руткиты

Существует несколько типов руткитов, отличающихся между собой по степени воздействия на систему и сложности обнаружения. Самый простой из них - руткит, функционирующий на пользовательском уровне (user-mode ). Он запускается на компьютере, используя права администратора, что позволяет ему успешно скрывать свое присутствие, выдавая собственные действия за работу системных служб и приложений. Хотя избавиться от него достаточно сложно - вредоносная программа создает копии необходимых файлов на разделах жесткого диска и автоматически запускается при каждом старте системы - это единственный вид, поддающийся обнаружению антивирусными и антишпионскими программами.

Второй тип - руткиты, функционирующие на уровне ядра (kernel-mode ). Понимая, что вредоносная программа, работающая на уровне пользователя может быть обнаружена, разработчики создали руткит, способный перехватывать функции на уровне ядра операционной системы. Один из признаков его присутствия на компьютере - нестабильность операционной системы.

Гибридный руткит. Этот тип вредоносного ПО сочетает в себе простоту в использовании и стабильность руткитов пользовательского режима и скрытность руткитов уровня ядра. Микс получился весьма успешным и в настоящий момент широко используется.

Модифицирующий прошивку руткит. Его особенность состоит в том, что он способен прописываться в прошивку. Даже если антивирусная программа обнаружит и удалит руткит, то после перезагрузки, он получит возможность снова вернуться в систему.

Каковы симптомы заражения руткитом

Как уже говорилось, обнаружить присутствие их в системе чрезвычайно сложно, но есть некоторые признаки, позволяющие предположить заражение:

• Компьютер не реагирует на действия мыши и клавиатуры.
• Настройки операционной системы меняются без участия пользователя - это один из способов руткита скрыть свои действия.
• Нестабильно работает доступ в сеть из-за значительно возросшего интернет-трафика.

Стоит отметить, что правильно работающий руктит вполне способен не допустить появления всех этих симптомов, за исключением разве что последнего. Да и то только в случае, если компьютер выступает в роли ретранслятора спама или участвует в DDoS-атаках (объем трафика порой увеличивается так, что скрыть это не представляется возможным).

Руткиты – более опасны, чем вирусы?

Времена, когда компьютерный вирус считался самым главным вредителем, давно канули в лету.

Сегодня существуют гораздо более опасные вредоносные приложения, так называемые руткиты, которые создаются хакерами для установки удаленного доступа к вашему компьютеру. Губительная сила руткитов в их неуязвимости для антивирусных программ и повсеместном распространении.

Что делает руткит?

В обход брандмауэра руткит создает «черный ход» через тайные лазейки в Интернет, который позволяет создавать удаленное подключение, устанавливать дополнительные модули, воровать сохраненные на компьютере пароли, сканировать банковские реквизиты пластиковых карт, отключать антивирусные приложения, то есть — управлять компьютером, насколько подскажет фантазия.

Для чего используют руткиты?

Хакеры используют руткиты для получения дистанционного контроля для создания зомби-сетей, огромная вычислительная способность которых позволяет осуществлять DDoS-атаки невиданной мощности, производить массовые рассылки спама и получать конфиденциальные данные – пароли, адресные книги и файлы.

Как руткит попадает в компьютер?

В основном, руткиты проникают в систему так же, как и обычные вирусы – через присоединенные в спаме файлы, через флешки, а также через уязвимости в браузерах и плагинах. Часто флешка с руткитом подбрасывается потенциальной жертве.

После проникновения в компьютер руткит пробирается глубоко в систему, подменяя один из файлов библиотек *.dll, получает привилегированное положение в системе, оставаясь незамеченным для антивирусных программ, устанавливает дополнительные приложения, которые предоставляют неограниченный доступ компьютеру жертвы.

Почему же антивирусные программы не находят руткит?

Антивирусные программы определяют вредоносный софт по так называемым сигнатурам – особым цепочкам кода, которые содержатся в теле вируса, либо по особенностям его поведения. Особенность руткитов в том, что они манипулируют процессами обмена потоков данных между программами, в том числе и антивирусными, подменяя и удаляя данные о себе. Таким образом, антивирус получает информацию, что «все ОК, угроз не обнаружено».

Как удалить руткиты?

Обнаружить скрытый вредоносный код – очень серьезная задача, и обычному антивирусу с ней не справиться. Для этого нужно применять особые программы, которые написаны специально для таких целей.

На сегодняшний день наиболее эффективные бесплатные программы для обнаружения руткитов — и AVG Anti-Roorkit. Каждая из них удаляет максимальное количество замаскированных вредителей. Наилучшего эффекта можно достигнуть, используя оба эти приложения. Другие же программы показывают при тестировании неудовлетворительные результаты.

Компьютерным вирусом можно назвать программу, которая скрытно работает и наносит вред всей системе или какой-то отдельной ее части. Каждый второй программист сталкивался с данной проблемой. Не осталось уже ни одного пользователя ПК, который не знал бы, что такое

Виды компьютерных вирусов:

1. Черви. Это программы, которые захламляют систему путём постоянного размножения, копирования самих себя. Чем больше их в системе, тем медленнее она работает. Червь никак не может слиться с любой безопасной программой. Он существует в виде самостоятельного файла(ов).
2. сливаются с безвредными и маскируются в них. Они не наносят никакого ущерба компьютеру, пока пользователь не запустит файл, в котором находится троян. Эти вирусы используются для удаления и изменения данных.
3. Шпионские программы занимаются сбором информации. Их цель - обнаружить коды, пароли и передать тому, кто создал их и запустил в интернет, проще говоря - хозяину.
4. Зомби-вирусы дают возможность хакеру контролировать заражённый компьютер. Пользователь может вообще не знать, что его ПК заражен и кто-то его использует.
5. Блокирующие программы не дают возможности вообще войти в систему.

Что такое руткит?

Руткит - это одна или несколько программ, которые скрывают присутствие нежелательных приложений на компьютере, помогая злоумышленникам действовать незаметно. Он содержит в себе абсолютно весь набор функций вредоносного ПО. Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит - это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.

Другими словами, руткит - это приложение, которое отвечает за перехват системных функций. Для операционной системы Windows можно выделить такие популярные руткиты: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.

Разновидности

Существует несколько вариантов этих вирусных программ. Их можно разделить на две категории: user-mode (пользовательские) и kernel-mode (руткиты уровня ядра). Утилиты первой категории имеют те же возможности, что и обычные приложения, которые можно запустить на устройстве. Они могут использовать память уже запущенных программ. Это наиболее популярный вариант. Руткиты второй категории находятся глубоко в системе и имеют полный доступ к компьютеру. Если такая программа установлена, то хакер может делать с атакованным устройством практически все, что хочет. Руткиты такого уровня гораздо сложнее создать, поэтому первая категория и пользуется большей популярностью. Но вирусную программу уровня ядра совсем непросто найти и удалить, и защита от компьютерных вирусов зачастую здесь абсолютно бессильна.

Существуют и другие, более редкие варианты руткитов. Называют эти программы буткитами. Суть их работы заключается в том, что они получают контроль над устройством задолго до запуска системы. Совсем недавно были созданы руткиты, атакующие Android-смартфоны. Хакерские технологии развиваются так же, как лецинзионное ПО - идут в ногу со временем.

Самодельные руткиты

Огромное количество зараженных компьютеров находятся в так называемой зомби-сети и используются для того, чтобы рассылать спам-сообщения. При этом пользователи этих ПК ничего не подозревают о такой «деятельности». До сегодняшнего дня было принято думать, что создавать упомянутые сети могут лишь профессиональные программисты. Но совсем скоро все может кардинально измениться. В сети реально найти всё больше инструментов для создания вирусных программ. Например, при помощи набора под названием Pinch можно легко создать руткит. Основой для этого вредоносного ПО будет Pinch Builder Trojan, который можно дополнить различными функциями. Это приложение с лёгкостью сможет считывать пароли в браузерах, распознавать вводимые данные и отправлять их аферистам, а также ловко прятать свои функции.

Способы заражения устройства

Изначально руткиты внедряются в систему точно так же, как и другие вирусные программы. При уязвимости плагина или браузера попасть на компьютер для приложения не составит никакого труда. Часто для этих целей используют флеш-накопители. Иногда хакеры просто бросают флешки в местах скопления людей, где человек может забрать зараженное устройство с собой. Так на компьютер жертвы попадает руткит. Это приводит к тому, что приложение использует слабые стороны системы и с легкостью получает доминирующее положение в ней. Затем программа проводит установку вспомогательных компонентов, которые используются для управления компьютером на расстоянии.

Фишинг

Нередко система заражается посредством фишинга. Существует большая возможность попадания кода на компьютер в процессе скачивания нелицензированных игр и программ. Очень часто его маскируют под файл, который называется Readme. Никогда нельзя забывать об опасности софта и игр, скачиваемых с непроверенных сайтов. Чаще всего пользователь запускает руткит самостоятельно, после чего программа сразу же прячет все признаки своей деятельности, и обнаружить ее потом очень непросто.

Почему руткит тяжело обнаружить?

Эта программа занимается перехватом данных различных приложений. Иногда антивирус засекает эти действия сразу. Но зачастую, когда устройство уже подвергнуто заражению, вирус с лёгкостью прячет всю информацию о состоянии компьютера, при этом следы деятельности уже исчезли, а сведения обо всём вредном софте удалены. Очевидно, что в такой ситуации у антивируса нет возможности найти какие-либо признаки руткита и попытаться устранить его. Но, как показывает практика, способны сдержать такие атаки. А компании, которые занимаются производством защитного ПО, регулярно обновляют продукцию и добавляют в неё необходимую информацию о новых уязвимостях.

Поиск руткитов на компьютере

Для поиска этих можно использовать различные утилиты, специально созданные для этих целей. Неплохо справляется с этой задачей "Антивирус Касперского". Следует просто проверять устройство на наличие всякого рода уязвимостей и вредоносных программ. Такая проверка очень важна для защиты системы от вирусов, в том числе и от руткитов. При помощи сканирования обнаруживается вредоносный код, который не смогла засечь защита от нежелательных программ. Вдобавок поиск помогает найти уязвимые места операционной системы, через которые злоумышленники могут заниматься распространением вредоносных программ и объектов. Вы ищете подходящую защиту? Вам вполне подойдет "Касперский". Руткит можно обнаружить, просто включив периодический поиск этих вирусов в вашей системе.

Для более детального поиска подобных приложений необходимо настроить антивирус на проверку работы важнейших файлов системы на самом низком уровне. Также очень важно гарантировать высокий уровень самозащиты антивируса, так как руткит может запросто вывести его из строя.

Проверка накопителей

Для того чтобы быть уверенным в безопасности компьютера, необходимо проверять при включении все переносные накопители. Руткиты могут легко проникнуть в вашу операционную систему через съемные диски, флешки. "Антивирус Касперского" подвергает моноторингу абсолютно все съемные при подключении их к устройству. Для этого нужно просто настроить проверку накопителей и обязательно следить за обновлением вашего антивируса.

Удаление руткита

В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки - полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.

Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты. Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей. Более того, эта программа способна удалять более простые руткиты посредством функции лечения.

Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант - ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.

Привет друзья, сейчас я Вам на простом примере из жизни объясню что такое руткиты . Один раз, ко мне за помощью обратился мой знакомый, проблема была в том, что ему отказал в обслуживании провайдер интернета за так называемый (broadcast) трафик или простыми словами - флуд. Что интересно, мой приятель и понятия не имел что это такое и как с этим бороться. Оператор провайдера просто сообщил моему товарищу что он распространяет broadcast пакеты всем пользователям сети со скоростью 7000-9000 пакетов в минуту и этим понижает общую пропускную способность сети. Операционная система у моего приятеля была Windows XP.

Что такое broadcast трафик? Это пакеты информации, предназначенные всем компьютерам сети. В обычном режиме один компьютер в сети рассылает в минуту 15 таких пакетов, компьютер же моего друга рассылал 9000 пакетов в минуту и его просто отключили от сети посоветовав переустановить драйвер на сетевой адаптер или полностью операционную систему. И на самом деле, причиной появления таких пакетов является неисправный драйвер сетевого адаптер, сам сетевой адаптер, с ошибками работающая винда или... вирусы!

Переустановка драйвера ничего не дала, также не помогла установка нового сетевого адаптера в разъём PCI, а вот переустановка Windows принесла свои плоды ровно на два дня, затем моего приятеля опять отключили от мира за тот же самый флуд.

Что делать? Первым делом я решил проверить компьютер на вирусы, результат оказался отрицательным и я ничего не нашёл, в конце концов я решил проверить Windows XP с помощью проверенной утилитки RootkitRevealer от Марка Руссиновича, данная утилита не удаляет руткиты, а только обнаруживает их и она нашла несколько руткитов!

Примечание: RootkitRevealer не работает в 64-битных операционных системах, также не советую запускать её в Windows 7, 8, 10, работайте лучше с программами: .

Пришлось отсоединять жёсткий диск моего друга и подсоединять его к своему компьютеру вторым, затем сканировать его диск C: утилитой TDSSKiller, которая и жахнула эти руткиты. Но руткиты сами не распространяют broadcast пакеты, они только скрывают негодяя, который это делает. После проверки жёсткого диска моего приятеля своим антивирусом я нашёл несколько червей, именно они и "долбились" по сети рассылая broadcast или multicast пакеты пытаясь пробить брешь в других компьютерах в сети и заразить их. Чем больше компьютеров заразишь, тем лучше, ведь получится Ботнет - состоящий из множества компьютеров, который можно использовать для DOS-атаки на любой ресурс в сети.

Позже мы установили как именно попали руткиты на компьютер моего друга - через взломанную компьютерную игрушку, которую мой приятель скачал на открытом ресурсе.

Что такое руткиты

Согласно классификации некоторых разработчиков антивирусных программных продуктов, руткиты (rootkits) не являются отдельным типом вредоносного ПО, а представляют собой более совершенствованный тип . В то же время, если трояны, как правило, маскируются под полезные программы, то руткиты прячутся более профессионально – с глубоким внедрением в систему.

Существуют даже руткиты уровня ядра, они заменяют часть кода ядра операционной системы, внедрённый руткитом модифицируемый код скрывает в себе программу способную удалённо управлять заражённым компьютером.

Другие руткиты добавляют свой код к распространённым библиотекам или драйверам, но не нарушают их основной функции.

Современные версии руткитов умеют прятать от пользователя папки, файлы, параметры системного реестра, работающие процессы приложений, системные службы, драйвера, сетевые соединения. Принцип их работы базируется на модификации данных и программного кода в памяти системы. Для чего всё это делается ?

Основные цели руткитов

Руткит (rootkit) сам по себе не опасен, и, опять же, сам по себе не является вредоносной программой – он не размножается, как , как они же, не уничтожает пользовательские данные и компьютерную технику. Руткиты не стремятся заразить через сеть другие компьютер, проникнув в один из них, как это делают . Задача руткита – скрыть действия другой вредоносной программы, которая орудует на компьютере. Руткит – это такой себе пособник преступника. А вот действия уже преступника – самой вредоносной программы, например, вируса, трояна или – могут иметь последствия различной степени опасности. Это может быть и предоставление мошеннику доступа к компьютеру, и слежка за действиями пользователя, и кража его конфиденциальных данных, и прочие весьма неприятные вещи, на которые способно вредоносное ПО.

Например руткит может послужить вспомогательным инструментом для внедрения в операционную систему трояна Backdoor (чёрный ход), основная задача которого – скрытное и полное управление заражённым компьютером превращающимся в настоящее "зомби", такой компьютер абсолютно не служит своему хозяину, а работает только на злоумышленников участвуя в различных DOS - атаках на определённые сетевые ресурсы.

Руткиты не всегда внедряются в систему не санкционировано. Разработчики иногда легально внедряют руткиты в полезные программы, не забыв при этом «побеспокоиться» о том, чтобы пользователь разрешил их установку вместе с основной программой.

Ещё одним отличием руткитов от прочего типа вредоносного ПО является возможность внедрения не только в Windows, но также и в Linux, которая считается безопасной операционной системой отчасти по той простой причине, что пока массово разработчики вирусов и троянов не особо заинтересованы в её пользовательской аудитории. Правда, руткиту внедриться в Linux намного сложнее, нежели в Windows.

Признаки наличия в системе руткита

Внедрённый в систему руткит может быть причиной подвисания маломощного компьютера. Но это, акцентирую, только теоретическая возможность того, что в компьютер проник руткит, ведь причин слабеньких устройств может быть очень много.

Другой признак возможного наличия в системе руткита – это отправка данных по сети при условии, что все программы и системные службы, взаимодействующие с сетью, не активны. Опять же, это не самый надёжный способ диагностики, поскольку руткиты, как правило, работают очень аккуратно, и в момент отправки им данных с компьютера ещё нужно суметь попасть.

Очевидных каких-то признаков, характерных именно для руткитов, увы, нет. о наличии в компьютере руткитов скажут гораздо больше, нежели внешние признаки.

Как избавиться от руткитов?

Друзья, лучший способ обнаружить руткит, это сканировать антивирусом жёсткий диск с заражённой Windows из другой операционной системы, например снять винчестер и подсоединить его к другому компьютеру вторым устройством (как сделал я) или использовать антивирусный загрузочный диск. Подробно о том, как избавиться от руткитов,

Руткит - это вредоносная программа, предназначенная для получения злоумышленниками прав суперпользователя на устройстве без ведома жертвы.

Как руткит проникает на устройство пользователя

Способов проникновения руткитов на компьютер пользователя множество, среди них загрузка посредством инфицированной сторонней программы или подключаемого модуля. Руткиты не способны самораспространяться, но, как правило, являются частью более сложных, смешанных угроз.

Как распознать руткит

Обнаружение руткита в системе - задача совсем не тривиальная. При поиске объектов в системной памяти, проверяйте все права выполняемых процессов, одновременно отслеживая запросы импортированных библиотек (из DLLs), которые, в свою очередь, могут быть отклонены или перенаправлены на исполнение иных функций. Если вы хотите быть уверены в том, что на вашем ПК нет руткитов, воспользуйтесь сканером системы, встроенным в современных антивирусных решениях (напр. в бесплатном антивирусе Avast).

Как отстранить руткит

Антивирусная программа способна обнаружить присутствие руткитов в системе. Во время сканирования на наличие руткитов большинство программ остановят исполнение руткита, однако удаление руткита должно быть произведено вручную.

Как уберечься от руткитов

• Используйте современное антивирусное решение с модулем защиты брандмауэром.

Почему именно Avast?

• Наиболее распространенный антивирус в мире - 400 млн пользователей
• Титулованный антивирус
• Многократный победитель независимых тестов
• "Антивирус с самой низкой нагрузкой на системные ресурсы и производительность ПК (AV comparatives)"
• Уникальные функции - менеджер паролей, аудитор безопасности домашней сети, очистка браузера - и многие другие
• И все это - БЕСПЛАТНО