Что такое руткиты. Программы для удаления руткитов

Вирусы становятся все более изощренными. На смену вредоносному ПО, которое просто портило данные, давно уже пришли средства для предоставления злоумышленникам контроля над вашим ПК. Из таких зараженных компьютеров давно уже составляются целые сети, которые выполняют различные задачи (рассылка спама, организация DDOS-атак). Однако для того чтобы получить доступ к управлению удаленным компьютером необходимо сначала внедрить в него какое-то управляющее ПО. Этим и занимаются вирусы. Вы спросите: «Как же они обходят антивирусные программы?» Способов придумано довольно много. Один из них - использование так называемых руткитов.

Руткит - способ сокрытия факта заражения

Руткит - это вовсе не вирус, как считают некоторые. Сам он никакого вреда не приносит. Руткит - это всего лишь программа или набор программных средств для сокрытия ряда объектов или определенного вида активности в системе. Такой маскировке, как правило, подвергаются ключи реестра, отвечающие за автоматический запуск вредоносного кода; файлы, содержащие вирусные сигнатуры или тело вируса; сетевые соединения вируса; активные процессы в зараженной системе, а также иные проявления вредоносной активности. Таким образом, руткиты продлевают время работы вредоносного кода до обнаружения его антивирусами или внимательным пользователем, путем затруднения обнаружения.

На самом деле, ситуация-то достаточно типичная. ПК, вроде бы в порядке. Антивирус молчит, в списке автозапуска чистота и порядок, лишних процессов нет. Однако в это самое время ваш компьютер может тихонечко рассылать спам, участвовать в атаке на сайты и т.п. «милые шалости». Такая ситуация может продолжаться долгое время. Даже годами!

Сам термин «руткит» (английский вариант - rootkit) сформировался в среде пользователей операционных систем UNIX. Так называли набор утилит или даже специальный модуль ядра системы, которые устанавливались на взломанной системе после получения хакером прав root (суперпользователя). Такой «джентельменский» набор позволял и далее держать взломанную систему под незаметным контролем. Именно для этого в состав rootkit входили утилиты для маскировки самого факта вторжения в систему.

Спите спокойно, жители Багдада, или как же маскируются руткиты?

Большинство современных антивирусных программ распознают вредоносное программное обеспечение по так называемым «сигнатурам». Они представляют собой характерные специфические цепочки кода, содержащиеся в теле вируса. Именно из таких сигнатур состоят, в большинстве своем, базы данных антивирусов, которые мы скачиваем с сайтов производителя. Такие цепочки кода - особые приметы вирусов, троянов и т.п. гадости, по которым антивирусная программа может опознать зловреда для того, чтобы его уничтожить.

Хорошие антивирусы также имеют блок так называемого «эвристического» анализа, который может распознать вредоносное программное обеспечение по ряду особенностей его поведения. Список таких «характерных» действий довольно велик и включает в себя диапазон от простейших удалений файлов какого-либо вида до хитрых изменений в ядре системы или подмены важных системных файлов или путей. Чем изощреннее становятся вирусы, тем более разветвленные алгоритмы приходится строить для эвристического анализа программистам, занимающимся разработкой антивирусных средств.

Как же может руткит обмануть такую многоуровневую защиту? Для этого они манипулируют процессами обмена данных между приложениями. Руткиты попросту удаляют сведения о себе и о вредоносном софте, который они «опекают» из этих процессов. Антивирусная программа в таком случае получает заведомо ложную информацию о полном благополучии в системе. Ни в блок сравнивающий сигнатуры, ни в блок эвристики просто не поступает данных, способных привести к тревоге.

Как руткиты попадают на компьютер?

Вариантов распространения такого рода программ огромное множество. Руткит может попасть в компьютер через вложенный в электронное письмо файл, может быть принесен на флешке ничего не подозревающим другом в виде зараженного или фальшивого документа DOC или PDF, может быть скачан из интернета вместе с бесплатной игрой или иным софтом (особенно часто это бывает, когда программы скачиваются не с сайта разработчика или известных надёжных софт-архивов, а с разных «пиратских» сайтов). Общим для этих способов является одно - пользователь сам запускает руткит на компьютере, не осознавая, что он делает. Кстати, пока руткит не запущен и лежит в латентном состоянии в виде документа, он становится легкой добычей для большинства антивирусов. Однако после запуска он тут же перехватывает системные процессы и отловить его становится довольно проблематично.

Еще один весьма нередкий путь распространения руткитов - различные интернет-сайты. Это могут быть и вполне приличные сайты, чьи хозяева и не подозревают, что их детище взломано и распространяет заразу, а могут быть и специально созданные сайты для распространения руткитов. В этом случае пользователю достаточно открыть веб-страницу сайта, после чего руткит попадает в его ПК. Это возможно благодаря наличию «дыр» в системе безопасности ряда браузеров. Особенно часто такое бывает, когда браузер не обновляется регулярно.

Как избавиться от руткитов?

А вот об этом мы поговорим с вами в следующей статье, которая так и будет называться « ».

Происхождение термина "руткит " корнями уходит в операционные системы семейства UNIX. В английском варианте "rootkit " состоит из двух слов: root - суперпользователь (аналог администратора в Windows) и kit - набор программных средств, позволяющий злоумышленнику получить "привилегированный" доступ в систему - естественно, без согласия настоящего администратора. Первые руткиты, появились в начале 90-х годов и долгое время были особенностью исключительно UNIX-систем, но хорошие идеи, как известно не пропадают, и конец XX века ознаменовался уже тем, что массово начали появляться вирусные программы подобного рода, функционирующие под Windows.

Кто и зачем использует руткиты

Основная функция, которую выполняет руткиты - это обеспечение удаленного доступа в систему. Иными словами, они дают своим создателям практически безграничную власть над компьютерами ничего не подозревающих пользователей. Внедряясь в систему, такие вредоносные программы могут легко перехватывать и модифицировать низкоуровневые API функции, что позволяет им качественно скрывать от пользователя и антивирусного ПО свое присутствие на компьютере.

Нельзя сказать, что руткит исключительно вредоносная программа. По сути, ими является подавляющее большинство программных средств защиты от копирования (а так же средств обхода этих защит). Взять к примеру печально известный случай, когда японская корпорация Sony встраивала утилиты подобного рода в свои лицензионные аудио-диски.

Как распространяются руткиты

Самый популярный способ распространения: через программы обмена мгновенными сообщениями. Попав на компьютер, руткит рассылает сообщения, содержащие вредоносные вложения, всем, чьи адреса есть в списке контактов. Существует и более современный подход, который заключается во вставке вредоносного кода в файлы PDF. Для активизации достаточно просто открыть файл.

Какими бывают руткиты

Существует несколько типов руткитов, отличающихся между собой по степени воздействия на систему и сложности обнаружения. Самый простой из них - руткит, функционирующий на пользовательском уровне (user-mode ). Он запускается на компьютере, используя права администратора, что позволяет ему успешно скрывать свое присутствие, выдавая собственные действия за работу системных служб и приложений. Хотя избавиться от него достаточно сложно - вредоносная программа создает копии необходимых файлов на разделах жесткого диска и автоматически запускается при каждом старте системы - это единственный вид, поддающийся обнаружению антивирусными и антишпионскими программами.

Второй тип - руткиты, функционирующие на уровне ядра (kernel-mode ). Понимая, что вредоносная программа, работающая на уровне пользователя может быть обнаружена, разработчики создали руткит, способный перехватывать функции на уровне ядра операционной системы. Один из признаков его присутствия на компьютере - нестабильность операционной системы.

Гибридный руткит. Этот тип вредоносного ПО сочетает в себе простоту в использовании и стабильность руткитов пользовательского режима и скрытность руткитов уровня ядра. Микс получился весьма успешным и в настоящий момент широко используется.

Модифицирующий прошивку руткит. Его особенность состоит в том, что он способен прописываться в прошивку. Даже если антивирусная программа обнаружит и удалит руткит, то после перезагрузки, он получит возможность снова вернуться в систему.

Каковы симптомы заражения руткитом

Как уже говорилось, обнаружить присутствие их в системе чрезвычайно сложно, но есть некоторые признаки, позволяющие предположить заражение:

• Компьютер не реагирует на действия мыши и клавиатуры.
• Настройки операционной системы меняются без участия пользователя - это один из способов руткита скрыть свои действия.
• Нестабильно работает доступ в сеть из-за значительно возросшего интернет-трафика.

Стоит отметить, что правильно работающий руктит вполне способен не допустить появления всех этих симптомов, за исключением разве что последнего. Да и то только в случае, если компьютер выступает в роли ретранслятора спама или участвует в DDoS-атаках (объем трафика порой увеличивается так, что скрыть это не представляется возможным).

Руткит (rootkit) - это вредоносное программное обеспечение (программа), позволяющее скрыть следы деятельности вируса (вредоносной программы) в системе.

Руткит устанавливается сразу, как только получает доступ к атакуемой системе - компьютеру или ноутбуку.

Руткиты не только сами стараются быть незаметными, но и скрывают различные другие вирусы, которые смогли проникнуть в систему компьютера. Незаметные для программ защиты они атакуют компьютер. Так руткиты могут передавать персональные данные пользователя (логины и пароли) хакерам, выполнять установку других вирусов и пр.

Руткиты различаются по способу их выполнения и постоянству активации.

По способу выполнения руткиты бывают:
• 1. Руткиты, которые модифицируют структуру данных ядра операционной системы;
• 2. Руткиты пользовательского режима, в этом случае идет перехват системной информации.

По постоянству активации различают:
• 1. Постоянные руткиты, которые активируются при каждом запуске системы;
• 2. Непостоянные руткиты, которые не могут запускаться самостоятельно после перезагрузки операционной системы.

Руткиты попадают в ПК разными путями. Пользователь может заразить свой компьютер, если зайдет на зараженный сайт, который подвергся хакерской атаке. Иногда руткит может находиться в письме, замаскировавшись под прикрепленный документ. Пользователь, попытавшись открыть такой документ, на самом деле активирует вредоносную программу и заражает свой компьютер. Обычно руткит изменяет какую-нибудь библиотеку операционной системы - файл с расширением *.dll, так его становится трудно обнаружить, и он спокойно может загружать на компьютер или ноутбук различные вирусные программы, о чем пользователь знать не будет.

Существует множество способов защиты компьютера от руткитов. В первую очередь к ним относится установка защитных программ: качественного антивируса и файрвола. Антивирусная программа должна быть лицензионной и всегда активной, а файрвол защитит компьютер пользователя от нежелательного доступа. Пользователь должен следить, чтобы противовирусные программы регулярно обновлялись.

Тем не менее, защита компьютера от руткитов не так проста, как может показаться на первый взгляд. Антивирусная программа способна распознать руткит, только когда он неактивен. Но как только пользователь, сам того не подозревая, активирует руткит, он активируется и проникает в систему, и антивирус уже не может его обнаружить. После активации руткита выявить его могут только специальные программы, например, AVG Anti-Rootkit, Gmer и прочие.

Руткиты - это новый вид вредоносных программ, которые гораздо опаснее обычных вирусов. С их помощью хакеры заражают компьютеры и через сеть Интернет получают доступ к конфиденциальной информации пользователя, они создают из зараженных компьютеров целые сети, что позволяет им устраивать массовые хакерские атаки на различные электронные ресурсы глобальной сети.

Руткит — это набор программных средств, которые при установке на компьютер, обеспечивают удаленный доступ к ресурсам, информации и файлам системы без ведома владельца. Правоохранительные органы и родительские программы “няня” используют различные типы руткитов для тайного мониторинга активности на компьютерах для целей наблюдения, но злоумышленники могут также установить пакет программ rootkit на компьютеры ничего не подозревающих жертв.
Слово “руткит” пришло из операционной системы Unix (ОС), которая была распространена до Microsoft™ и Windows™. Linux и распространение программного обеспечения Беркли (БСД) являются производными от ОС Unix. “Корневой” уровень системы Unix сродни правам администратора ОС Windows. Пульт дистанционного управления — это пакет программного обеспечения был передан как “Кит”, давая нам название “руткит”.

Руткиты создавали шумиху с начала 1990-х годов. Тип руткитов, которые атакуют компьютеры Windows™ добавляют себя в ядро операционной системы. Отсюда rootkit может изменить саму операционную систему и перехватывать звонки в системе (системные запросы для получения информации), предоставляя ложные ответы, чтобы замаскировать присутствие руткита. Поскольку руткит скрывает свои процессы от операционной системы и в системном журнале, его трудно обнаружить.

Злоумышленник может установить руткит на компьютер с помощью различных средств. Руткиты могут быть доставлены как трояны или даже спрятаны в, казалось бы, доброкачественном файле. Это может быть графический файл или программа, которая распространяется посредством электронной почты. У жертвы нет способа узнать, что будет установлено, нажав на рисунок или программу. Руткиты могут также быть установлены с помощью серфинга в Интернете. В всплывающем окне можно указать, например, что программа необходима для просмотра сайта, маскируя руткит как законный плагин.

Как только руткит устанавливается, хакер может тайно общаться с целевым компьютером, когда он онлайн. Руткит обычно используется для установки как скрытая программа и создаёт “черные ходы” в системе. Если хакер хочет получить информацию, то он может установить программу кейлоггер. Эта программа будет тайно записывать все типы действий онлайн, предоставляя результаты в интерлопер при следующей возможности. Кейлоггер программы могут раскрыть имена пользователей, пароли, номер кредитной карты, номера банковских счетов и другие конфиденциальные данные, для потенциального мошенничества или кражи личных данных.

Другие вредоносные программы которые используют для руткитов включают ущерб несколько сотен или даже сотен тысяч компьютеров для формирования отдаленной ‘руткит сети’ которая называется ботнет. Ботнеты используются для рассылки распределенных отказов в обслуживании (DDoS) атаки, спама, вирусов и троянов на другие компьютеры. Эта деятельность, если проследить отправителя, может привести к правовой конфискации компьютеров от невинных владельцев, которые понятия не имели, что их компьютеры были использованы для незаконных целей.

Чтобы защитить свой компьютер от руткитов, эксперты советуют, что безопасность можно поддерживать с помощью анти-вирусных и анти-шпионских программ. Установка исправлений (патчей операционной системы безопасности), как только они становятся доступными, и удалят спам, не открывая его. При серфинге в Интернет разрешать только надежным сайтам для установки программного обеспечения, и не нажимать на подозрительные баннеры или всплывающие окна. Даже кнопка “спасибо” может быть уловкой, чтобы скачать руткит.

Также будет мудрым, чтобы использовать одну или более анти-руткит-программ для сканирования на наличие руткитов хотя бы раз в неделю. Хотя некоторые руткиты могут, предположительно, быть безопасно удалены, общая рекомендация — отформатировать диск и восстановить систему, чтобы убедиться, что все rootkit удалены и все процессы ОС функционируют нормально. Если дело дойдет до этого, чистое резервное копирование позволит сделать такую работу намного легче.

Руткит - это вредоносная программа, предназначенная для получения злоумышленниками прав суперпользователя на устройстве без ведома жертвы.

Как руткит проникает на устройство пользователя

Способов проникновения руткитов на компьютер пользователя множество, среди них загрузка посредством инфицированной сторонней программы или подключаемого модуля. Руткиты не способны самораспространяться, но, как правило, являются частью более сложных, смешанных угроз.

Как распознать руткит

Обнаружение руткита в системе - задача совсем не тривиальная. При поиске объектов в системной памяти, проверяйте все права выполняемых процессов, одновременно отслеживая запросы импортированных библиотек (из DLLs), которые, в свою очередь, могут быть отклонены или перенаправлены на исполнение иных функций. Если вы хотите быть уверены в том, что на вашем ПК нет руткитов, воспользуйтесь сканером системы, встроенным в современных антивирусных решениях (напр. в бесплатном антивирусе Avast).

Как отстранить руткит

Антивирусная программа способна обнаружить присутствие руткитов в системе. Во время сканирования на наличие руткитов большинство программ остановят исполнение руткита, однако удаление руткита должно быть произведено вручную.

Как уберечься от руткитов

• Используйте современное антивирусное решение с модулем защиты брандмауэром.

Почему именно Avast?

• Наиболее распространенный антивирус в мире - 400 млн пользователей
• Титулованный антивирус
• Многократный победитель независимых тестов
• "Антивирус с самой низкой нагрузкой на системные ресурсы и производительность ПК (AV comparatives)"
• Уникальные функции - менеджер паролей, аудитор безопасности домашней сети, очистка браузера - и многие другие
• И все это - БЕСПЛАТНО