Что такое руткиты и чем они опасны. Ещё утилиты для поиска и удаления руткитов

Руткит - это вредоносная программа, предназначенная для получения злоумышленниками прав суперпользователя на устройстве без ведома жертвы.

Как руткит проникает на устройство пользователя

Способов проникновения руткитов на компьютер пользователя множество, среди них загрузка посредством инфицированной сторонней программы или подключаемого модуля. Руткиты не способны самораспространяться, но, как правило, являются частью более сложных, смешанных угроз.

Как распознать руткит

Обнаружение руткита в системе - задача совсем не тривиальная. При поиске объектов в системной памяти, проверяйте все права выполняемых процессов, одновременно отслеживая запросы импортированных библиотек (из DLLs), которые, в свою очередь, могут быть отклонены или перенаправлены на исполнение иных функций. Если вы хотите быть уверены в том, что на вашем ПК нет руткитов, воспользуйтесь сканером системы, встроенным в современных антивирусных решениях (напр. в бесплатном антивирусе Avast).

Как отстранить руткит

Антивирусная программа способна обнаружить присутствие руткитов в системе. Во время сканирования на наличие руткитов большинство программ остановят исполнение руткита, однако удаление руткита должно быть произведено вручную.

Как уберечься от руткитов

• Используйте современное антивирусное решение с модулем защиты брандмауэром.

Почему именно Avast?

• Наиболее распространенный антивирус в мире - 400 млн пользователей
• Титулованный антивирус
• Многократный победитель независимых тестов
• "Антивирус с самой низкой нагрузкой на системные ресурсы и производительность ПК (AV comparatives)"
• Уникальные функции - менеджер паролей, аудитор безопасности домашней сети, очистка браузера - и многие другие
• И все это - БЕСПЛАТНО

Руткиты – более опасны, чем вирусы?

Времена, когда компьютерный вирус считался самым главным вредителем, давно канули в лету.

Сегодня существуют гораздо более опасные вредоносные приложения, так называемые руткиты, которые создаются хакерами для установки удаленного доступа к вашему компьютеру. Губительная сила руткитов в их неуязвимости для антивирусных программ и повсеместном распространении.

Что делает руткит?

В обход брандмауэра руткит создает «черный ход» через тайные лазейки в Интернет, который позволяет создавать удаленное подключение, устанавливать дополнительные модули, воровать сохраненные на компьютере пароли, сканировать банковские реквизиты пластиковых карт, отключать антивирусные приложения, то есть — управлять компьютером, насколько подскажет фантазия.

Для чего используют руткиты?

Хакеры используют руткиты для получения дистанционного контроля для создания зомби-сетей, огромная вычислительная способность которых позволяет осуществлять DDoS-атаки невиданной мощности, производить массовые рассылки спама и получать конфиденциальные данные – пароли, адресные книги и файлы.

Как руткит попадает в компьютер?

В основном, руткиты проникают в систему так же, как и обычные вирусы – через присоединенные в спаме файлы, через флешки, а также через уязвимости в браузерах и плагинах. Часто флешка с руткитом подбрасывается потенциальной жертве.

После проникновения в компьютер руткит пробирается глубоко в систему, подменяя один из файлов библиотек *.dll, получает привилегированное положение в системе, оставаясь незамеченным для антивирусных программ, устанавливает дополнительные приложения, которые предоставляют неограниченный доступ компьютеру жертвы.

Почему же антивирусные программы не находят руткит?

Антивирусные программы определяют вредоносный софт по так называемым сигнатурам – особым цепочкам кода, которые содержатся в теле вируса, либо по особенностям его поведения. Особенность руткитов в том, что они манипулируют процессами обмена потоков данных между программами, в том числе и антивирусными, подменяя и удаляя данные о себе. Таким образом, антивирус получает информацию, что «все ОК, угроз не обнаружено».

Как удалить руткиты?

Обнаружить скрытый вредоносный код – очень серьезная задача, и обычному антивирусу с ней не справиться. Для этого нужно применять особые программы, которые написаны специально для таких целей.

На сегодняшний день наиболее эффективные бесплатные программы для обнаружения руткитов — и AVG Anti-Roorkit. Каждая из них удаляет максимальное количество замаскированных вредителей. Наилучшего эффекта можно достигнуть, используя оба эти приложения. Другие же программы показывают при тестировании неудовлетворительные результаты.

Сегодня Вы узнаете, что такое руткит и как удалить руткит со своего компьютера, обезопасив свой компьютер от этих вредоносных программ.

Что такое Руткит?

Руткит (RootKit) - это программа, сценарий либо некоторый набор программных инструментов, который предоставляет злоумышленнику (владельцу руткита) полный доступ к компьютеру другого пользователя или же, в худшем случае, сети в целом. Под "полным доступом" здесь непосредственно имеется в виду доступ уровня главного администратора (Head Administrator, SuperWiser) . Стоит понимать, что Руткит - это не просто опасная утилита, она действует таким образом, чтобы внедрить на ваш ПК вредные "дополнения" или приложения: трояны, шпионское ПО и прочие вирусы.

Почему руткиты так опасны?

Основная форма атаки руткитов - скрытность. Они будут скрываться глубоко в недрах вашего компьютера. Поскольку они имеют доступ уровня администратора, они осуществлять, например, блокировать ваш Windows-поиск и скрыть любую информацию о RootKit"ах, контролировать AntiVirus и в прямом смысле "приказать" ему игнорировать Rootkit, скрывать из списка активных процессов и многое другое!

Самый известный Руткит был установлен на некоторые устройства Sony. Sony спрятал RootKit на компьютерах людей как часть своей стратегии цифрового управления правами. Это предоставило им эффективный контроль над компьютерами пользователей. Эксперт по вопросам безопасности Sysinternals обнаружил данный RootKit и это вызвало огромный резонанс в мировом сообществе. Sony предлагало загрузить пользователям RootKit
как дополнительное ПО, а также выставляло его в качестве необходимого процесса.
Это подтверждает факт, что RootKit очень трудно обнаружить, и это делает их опасными.

Как удалить Руткит

Ответить на этот вопрос очень трудно. Не ожидайте, что ваш антивирус или фаервол со 100% вероятностью поможет Вам здесь. Самые лучшие RootKit могут легко победить Ваше антивирусное программное обеспечение, так что для того, чтобы удалить руткит Вам нужны специальные инструменты.

Для этого существуют специальные программы и сервисы. Одним из отечественных разработчиков можно смело считать Лабораторию Касперского и специально написанный "киллер" руткитов, который можно скачать по этой ссылке . Да и в целом их продукты довольно качественны, так можете , а затем , что на самом деле довольно просто.

Похожие новости:

Безопасность Безопасность

Руткит (rootkit) - это вредоносное программное обеспечение (программа), позволяющее скрыть следы деятельности вируса (вредоносной программы) в системе.

Руткит устанавливается сразу, как только получает доступ к атакуемой системе - компьютеру или ноутбуку.

Руткиты не только сами стараются быть незаметными, но и скрывают различные другие вирусы, которые смогли проникнуть в систему компьютера. Незаметные для программ защиты они атакуют компьютер. Так руткиты могут передавать персональные данные пользователя (логины и пароли) хакерам, выполнять установку других вирусов и пр.

Руткиты различаются по способу их выполнения и постоянству активации.

По способу выполнения руткиты бывают:
• 1. Руткиты, которые модифицируют структуру данных ядра операционной системы;
• 2. Руткиты пользовательского режима, в этом случае идет перехват системной информации.

По постоянству активации различают:
• 1. Постоянные руткиты, которые активируются при каждом запуске системы;
• 2. Непостоянные руткиты, которые не могут запускаться самостоятельно после перезагрузки операционной системы.

Руткиты попадают в ПК разными путями. Пользователь может заразить свой компьютер, если зайдет на зараженный сайт, который подвергся хакерской атаке. Иногда руткит может находиться в письме, замаскировавшись под прикрепленный документ. Пользователь, попытавшись открыть такой документ, на самом деле активирует вредоносную программу и заражает свой компьютер. Обычно руткит изменяет какую-нибудь библиотеку операционной системы - файл с расширением *.dll, так его становится трудно обнаружить, и он спокойно может загружать на компьютер или ноутбук различные вирусные программы, о чем пользователь знать не будет.

Существует множество способов защиты компьютера от руткитов. В первую очередь к ним относится установка защитных программ: качественного антивируса и файрвола. Антивирусная программа должна быть лицензионной и всегда активной, а файрвол защитит компьютер пользователя от нежелательного доступа. Пользователь должен следить, чтобы противовирусные программы регулярно обновлялись.

Тем не менее, защита компьютера от руткитов не так проста, как может показаться на первый взгляд. Антивирусная программа способна распознать руткит, только когда он неактивен. Но как только пользователь, сам того не подозревая, активирует руткит, он активируется и проникает в систему, и антивирус уже не может его обнаружить. После активации руткита выявить его могут только специальные программы, например, AVG Anti-Rootkit, Gmer и прочие.

Руткиты - это новый вид вредоносных программ, которые гораздо опаснее обычных вирусов. С их помощью хакеры заражают компьютеры и через сеть Интернет получают доступ к конфиденциальной информации пользователя, они создают из зараженных компьютеров целые сети, что позволяет им устраивать массовые хакерские атаки на различные электронные ресурсы глобальной сети.

Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу... И жить спокойно.

Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать хакерские атаки невиданной ранее мощности. В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ - руткиты

Что такое руткиты?

Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки - незаметно для антивирусов и других защитных программ захватить чужой компьютер. У таких руткитов, как Hacker Defender , в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать «замаскированных вредителей» (см. врезку на стр. ??) и использовать их по своему усмотрению. Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.

Хитрости руткитов

Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.

Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек - *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.

«Захват власти » руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.

Как маскируются руткиты?

Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам - характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя». Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения - этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его - уничтожить.

Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»

Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.

Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные

Как распространяются руткиты?

• Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
• Еще один путь распространения - подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров

«Самодельные» руткиты

Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»... Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:

• красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
• считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
• скрывать свои вредоносные функции - программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».

Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».

Как избавиться от руткитов?

Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.

Обобщение результатов тестирования

Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».

Распознавание руткитов

В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.

Удаление руткитов

Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.

Слишком сложное управление

То, что обнаружение скрытого вредоносного «софта» - дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя...

Итог

К нашей радости, победитель теста - Gmer 1.0 - и второй призер, AVG Anti-Rootkit , обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И Gmer , и AVG Anti-Rootkit удаляют большую часть найденных «вредителей», но все-таки не всех... Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».