К какому типу вредоносных программ относятся руткиты

Что такое руткиты и как от них избавиться

: 2018-10-30 / Виктор Трунов

С каждым днем создается более тысячи вирусов. Еще совсем недавно основной их целью было заражение компьютера с принесением пользы для создателя. Сейчас же дела обстоят немного иначе.

Злоумышленники начали создавать из зараженных компьютеров целые сети для увеличения своей выгоды. Например, такие сети используются для различных DDOS-атак, рассылок электронного спама, майнинга криптовалюты и других действий.

Для подобных целей используются руткиты. Немного ниже мы разберем, что такое руткиты, чем опасны и как с ними бороться.

Общая информация

Руткиты по англ. «Rootkit» – вредоносное программное обеспечение (вирусы), проникающие в компьютер различными нелегальными путями. Они предназначены для получения частичного или полного контроля над устройством.

Чаще всего руткиты попадают в систему через скачанную из простора интернета программу или после открытия подозрительного файла пришедшем в письме на электронную почту.

После активации вирус прописывается в системе, устанавливает дополнительные компоненты, вносит правки в реестр и тем самым получает привилегированный доступ к устройству. А это уже значит то, что хакеры могут делать все, что захотят.

К какому типу вредоносных программ относятся руткиты

Если делить все вирусы на типы, то руткиты можно поставить в один ряд с троянами и червями. Поскольку у них очень схожий принцип действия.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Заключается он в том, чтобы проникнуть в систему и похитить личные данные или получить контроль над устройством.

Например, хакеры могут заполучить ваши логины и пароли от социальных сетей, авторизоваться под вашим именем и попросить занять денег у ваших друзей. Кстати, это довольно распространенный способ взлома.

Чем они опасны

После того, как мы разобрались, что такое руткиты, поговорим о том, чем они опасны. Вирус rootkit позволяет злоумышленникам с легкостью получить конфиденциальную информацию, хранящуюся у вас на компьютере. Например, реквизиты банковской карты, логины, пароли, переписку и прочую немаловажную информацию.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Помимо этого, с помощью вирусов руткитов хакеры получают возможность выполнять различные мошеннические действия, используя ваш ПК. Ведь у них есть полный доступ, помните, вы сами его дали.

Симптомы заражения компьютера руткитом

Как и с любым другим популярным вирусом, симптомов заражения руткитом может быть несколько:

1. Непонятные попытки доступа к вашим социальным сетям, почтовым ящикам и прочим сервисам.
2. Пропажа личной информации на компьютере.
3. Частичная или полная блокировка доступа к ПК.
4. Медленная работа ноутбука или ПК, большой расход оперативной памяти в режиме простоя, высокая загрузка процессора. Это все можно посмотреть с помощью диспетчера задач.
5. Плохая связь с интернетом или его отсутствие.

Если в вашем случае имеет место хотя-бы один пункт, то желательно провести полную проверку на наличие руткитов.

Распространена ситуация, когда интернет провайдер отказывает в предоставлении своих услуг по причине исходящего от вашего компьютера флуда (так называемого «broadcast» трафика).

Скорее всего всему виной стал rootkit, который напрямую повлиял на отправку пакетов всем пользователям сети со скоростью 6000-8000 штук в минуту.

Когда в обычном режиме количество отсылаемых пакетов не должно превышать 5-20 штук в минуту.

Как с ними бороться

В большинстве случаев руткиты хорошо замаскированы, найти и удалить их с компьютера самостоятельно бывает крайне сложно, особенно рядовому пользователю. Здесь на помощь приходят специальные программы, созданные для поиска и удаления подобных вирусов.

К числу наиболее популярных программ можно отнести:

1. LiveCD от Dr.Web или Kaspersky Rescue Disk. Преимущество загрузочных дисков с антивирусом в том, что при проверке компьютера, все вирусы остаются неактивными и никак не влияют на проверку. Рекомендую использовать их в тех случаях, когда по каким-либо причинам не получает выполнить сканирование из-под системы Windows;
2. Dr.Web Cureit – бесплатная, но очень эффективная утилита от известного разработчика Доктора Веба;
3. Kaspersky Virus Removal Tool – утилита от Касперского, способная полностью проверить ПК и удалить множество видов руткитов.
4. AVZ – универсальная программа для обнаружения различных видов угроз;
5. TDSSKiller – популярный антируткит от разработчиков антивируса «Касперский».
6. Trend Micro RootkitBuster;
7. Malwarebytes Anti-Rootkit;
8. Sophos Anti-Rootkit.

Найти и скачать каждую из утилит можно на официальном сайте.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Как обезопасить компьютер от дальнейшего заражения

Здесь все очень просто, для предотвращения заражения вирусом rootkit достаточно придерживаться простых правил.

1. Не подключать к компьютеру неизвестные устройства, например, найденные на улице или в кафе USB флешки. Но если вам так не терпится, то делайте это на устройстве с установленным антивирусом.
2. Не скачивайте программы с неизвестных источников.
3. Не доверяйте электронному спаму.
4. Старайтесь не заходить на подозрительные сайты.
5. Установите полноценный комплексный антивирус. Пускай даже бесплатный. Вот рейтинг наиболее популярных из них.
6. Если не хотите устанавливать антивирус, то хотя-бы включите защитник Windows.

Следует помнить, что руткиты не всегда проникают в систему нелегальными способами. Бывают случаи, когда разработчики программ встраивают в свое приложение вирусы и открыто говорят об этом в лицензионном соглашении, которое принимает пользователь на этапе установки. Но читают такое соглашение далеко не все.

Соблюдая данные рекомендации, вы значительно повысите сохранность своих личных данных.

Если не получилось самостоятельно устранить возникшие неполадки, то скорее всего, проблема кроется на более техническом уровне. Это может быть: поломка материнской платы, блока питания,

жесткого диска, видеокарты, оперативной памяти и т.д.

В этом вам поможет наш специалист.

Оставьте заявку и получите
Бесплатную консультацию и диагностику специалиста!

Это бесплатно и ни к чему не обязывает.
Мы перезвоним Вам в течении 30 мин.

Источник: https://onoutbukax.ru/what-are-rootkits/

Виды вредоносного программного обеспечения (Malware)

Категория ~ Фундаментальные статьи – Игорь (Администратор)

Достаточно часто начинающие и средние пользователи совершают одну ошибку, они называют любое вредоносное программное обеспечение вирусом или трояном, в то время как корректно называть их именно вредоносным программным обеспечением. Разница между этими понятиями существенна.

Существует множество различных видов вредоносным программ и, соответственно, методов защиты и борьбы с ними.

Поэтому, если вы используете некорректную терминологию, то велика вероятность того, что прежде, чем вы избавитесь от вредоносных программ, будет перепробовано немало ненужных решений.

В данной статье будут даны краткие пояснения к некоторым наиболее известным типам вредоносных программ, а так же приведены некоторые ссылки на средства борьбы с ними.

Вредоносное программное обеспечение (Malware)

Malware это сокращенное название вредоносного программного обеспечения. Этот термин используется в тех случаях, когда необходимо объединить группу различных вредоносных программ.

Поэтому, если вы встретили такой термин, то знайте, что речь идет о нескольких типах вредоносных программ.

К примеру, в случае антивируса, часто, этот термин подразумевает наличие средств для борьбы с вирусами, червями, троянами и прочими вредоносными программами.

Вирус (Virus)

Первоначально термин «вирус» (Virus) был использован для названия самовоспроизводящихся программ, которые распространяются путем вставки своей копии в существующие программы или документы.

Иногда, вирусы распространяются путем простого создания файлов со своей копией, но этот способ самовоспроизведения достаточно быстро перестал использоваться, так как такие вирусы очень легко обнаружить. Сам термин произошел от аналогичного понятия в биологии.

Вирусы поражают клетки и заставляют создавать их копии. Компьютерные вирусы были одними из первых вредоносных программ. Сегодня же, встретить вирусы можно достаточно редко, так как, по большей части, они были вытеснены другими видами вредоносных программ, такими как черви и трояны.

Программы для борьбы с вирусами, вы можете в обзоре бесплатных антивирусов.

Червь (Worm или NetWorm)

Технически, между вирусами и червями существует разница, но достаточно часто термин червь заменяется термином вирус.

В первую очередь, червь отличается от вируса тем, что он содержит не только весь необходимый код для своего распространения, но представляет собой своего рода транспорт для других вредоносных программ.

Например, червь может включать в себя троянскую программу и активировать ее, после заражения компьютера. Во-вторых, для распространения черви используют сеть (локальную, интернет).

Другими словами, в отличии от вирусов, у червей единицей заражения являются не файлы и документы, а компьютеры (иногда, сетевые устройства). Некоторые из самых известных эпидемий были вызваны именно благодаря червям.

Чаще всего, для борьбы с червями применяются антивирусные решения совместно с межсетевыми экранами (файрволами, брендмаурами).

Примечание: Обзор бесплатных межсетевых экранов (файрволов) появится в одной из следующих статей.

Логическая бомба (Logic Bomb)

Логическая бомба — это специфический вид вредоносных программ, который проявляет себя только при определенных действиях или событиях (наступление дат, открытие каких-либо файлов и прочее), а остальную часть времени бездействует.

К примеру, с помощью логических бомб, можно устроить одновременное заражение или поломку большого числа компьютеров, без необходимости координации или какой-либо коммуникации. Достаточно лишь выбрать время.

Как и сетевыми червями, логические бомбы могут содержать другие вредоносные программы.

Для борьбы с логическими бомбами применяют антивирусы и различные средства отслеживания состояния системы в режиме реального времени (или близкого к этому), такие как утилиты из обзора программ обнаружения и предотвращения вторжения.

Троян или троянский конь (Trojan)

Термин «Троянский конь» (часто сокращают до простого «троян») применяется к вредоносным программам, которые выдают себя за хорошие приложения, в то время как в реальности таковыми не являются.

Этот тип вредоносного программного обеспечения получил свое название от хитрости, которые применили греки против троянцев в Илиаде Гомера.

Основная опасность программы заключается в том, что она может не только выдавать себя за полезную программу, но и в реальности предоставлять полезные функции, в качестве прикрытия для деструктивных действий.

Например, путем добавления своего кода в хорошие приложение. Другая опасность заключается в том, что троян может скрывать от системы выполнение каких-либо вредоносных действий.

С технической точки зрения, трояны сами по себе не занимаются своих распространением. Тем не менее, их часто сочетают с сетевыми червями для распространения инфекции или же добавляют в хорошие программы, после чего выкладывают в публичную сеть для скачивания. 

В связи с тем, что в отличии от вирусов и прочих, троянские программы могут содержать код для скрытия своих действий, то для борьбы с ними применяются не только антивирусы, но и сканеры троянских программ.

Клавиатурный шпион (Key logger)

Особый вид трояна, который записывает все нажатия кнопок клавиатуры и/или действия мышки на вашем компьютере.

В последствии, вся собранная информация либо сохраняется в месте, откуда злоумышленник легко сможет забрать ее, либо передается через сеть или интернет.

Для борьбы с клавиатурными шпионами применяются не только антивирусы и сканеры троянов, но и безопасные экранные клавиатуры, а так же программы для удаления рекламного и шпионского ПО.

Рекламные закладки (Adware)

Рекламные закладки или Adware это достаточно серый тип программ. Он может быть как хорошим, с точки зрения безопасности, так и вредоносным.

Примером хорошего варианта является установка бесплатных программ, которые так же устанавливают необходимый код для последующего просмотра рекламы. В некотором роде, используется бартер.

Вы бесплатно получаете функциональность, но за это вы просматриваете рекламу, от которой разработчик программы получает доход.

Для борьбы с вредоносными рекламными закладками применяются антивирусы, сканеры троянских программ, программы удаления рекламного ПО, а так же межсетевые экраны (файрволы).

Шпионские программы (Spyware)

Шпионские программы это несколько туманный термин. Первоначально, он в основном относился к рекламным закладкам (Adware).

Тем не менее, сегодня, многие представители программ-шпионов мало отличаются от троянских программ.

Для борьбы со шпионскими программами применяются антивирусы, сканеры троянских программ и программы для удаления рекламного и шпионского ПО. В некоторых случаях, их так же можно обнаружить, при помощи межсетевых экранов (файрволов). Например, при наличии странной сетевой активности.

Руткиты (Rootkit)

Руткит (Rootkit) это скрытый тип вредоносного программного обеспечения, который выполняется на уровне ядра операционной системы.

Основной опасностью руткитов является то, что, внедряясь на уровень ядра системы, руткиты могут выполнять любые действия и с легкостью обходить любые системы защиты, ведь для своего скрытия им достаточно отказать в доступе средствам безопасности.

Кроме того, руткиты позволяют скрывать действия других вредоносных программ. Обычно, их применяют для удаленного контроля компьютера. 

Из-за того, что руткиты выполняются на привилегированном уровне, их достаточно трудно обнаружить и уничтожить.

В большинстве случаев, обычные антивирусы никак не смогут вылечить зараженный компьютер, поэтому необходимо применять специальные программы для удаления руткитов.

Так же, если у вас есть подозрения о заражении руткитом, то проверку системы лучше всего выполнять при помощи LiveCD или дисков для восстановления системы, так как в таком случае руткиту сложнее будет скрыть свое присутствие.

Зобми компьютер (Zombie)

Программы для создания из вашего компьютера зомби предназначены для внедрения на компьютер кода, который, подобно, логической бомбе, будет активироваться при определенных условиях (обычно, речь идет об удаленном доступе — отсылке команд).

При заражении компьютера, чаще всего применяются троянские программы.

В последствии, зомбированный компьютер используется для рассылки спама, проведения DDoS атак (распределенная атака в обслуживании), накрутки счетчиков и прочих вредоносных действий, без ведома владельца.

В более редких случаях, программы зомби заражаются с помощью руткитов (или же являются частью самих руткитов), поэтому если вы обнаружили странную сетевую активность, то так же не лишним будет проверить систему на наличие руткитов.

Ботнет (Botnet)

Часто, зомби компьютеры организуются в сеть, называемую ботнет (botnet). В такой сети часть компьютеров представляет собой ретрансляторы для передачи команды от удаленного компьютера злоумышленника на все зомбированные узлы.

Это позволяет злоумышленникам легко управлять ботнет сетями, измеряемыми в десятках и сотнях тысяч.

Как правило, такие сети используют для проведения согласованных вредоносных действий в интернете, без ведома владельцев зараженных компьютеров. 

Борьба с ботнет сетями достаточно часто заключается в поиске ретрансляторов и их обезвреживании (блокирование доступа в интернет провайдерами, фильтрация на сетевых устройствах и прочие).

Загрузка вредоносных программ простым посещением (Drive-by-Download)

Этот тип вредоносных программ использует уязвимости браузеров и формирует html-код страницы таким образом, что просто посетив их, запустится автоматическая загрузка другого вредоносного программного обеспечения на компьютер. Часто, такая загрузка происходит вообще без ведома пользователя.

Заражение такими программами возможно в тех случаях, когда в браузерах по умолчанию разрешена установка различных компонентов и расширений для веб-сайтов.

Для борьбы с такими вирусами применяются антивирусы, позволяющие сканировать загружаемые файлы в реальном времени (в том числе html-код веб-страниц), межсетевые экраны (файрволы), а так же различные программы для установки безопасных настроек браузеров, некоторые из которых можно найти в обзоре утилит для тюнинга компьютера.

Пугающие или вымогающие (Scareware и Ransomware)

Пугающие или вымогающие вредоносные программы, в основном, полагаются на психологическое воздействие (страх, угрозы и прочее) и требуют перевести средства или нажать на ссылку, перейдя по которой начнется установка трояна или другой вредоносной программы. Технически, не редко такие программы используют только разрешенные и безопасные функции системы, из-за чего средства безопасности просто не обращают на них внимания. А если и используют сомнительные функции, то на очень примитивном уровне.

В большинстве случаев, для их устранения хватает и простого антивируса. Если же такая программа использует только безопасные функции, то, к сожалению, достаточно часто вам придется вручную заниматься их удалением. 

Скрытые индикаторы

Скрытые индикаторы применяются для сбора информации о вас или вашем компьютере. В отличии от программ-шпионов, чаще всего они используют разрешенные методы.

Например, вставка на страницу или в электронное письмо прозрачной картинки размером 1 на 1 пиксель.

Так как, в основном, скрытые индикаторы используют только разрешенные методы и в большинстве своем собирают только общедоступные данные, то с большой вероятностью, их не обнаружит ни одно средство безопасности. Тем не менее, знание о таком типе позволит вам задуматься, при обнаружении странных элементов.

Заключительные слова о вредоносных программах

Как видите, в зависимости от типа вредоносных программ, может меняться не только список средств безопасности, но и сами подходы к борьбе с ними. Поэтому, старайтесь использовать корректную терминологию — это позволит вам и другим людям сэкономить время и силы.

Примечание: Возможно, теперь вам стало чуть лучше понятно, почему технические специалисты при слове «вирус» начинают задавать множество «странных» вопросов.

Рубрики:

Источник: https://ida-freewares.ru/vidy-vredonosnogo-programmnogo-obespecheniya.html

Руткиты: что это такое, как их найти, определить и удалить

Разнообразие компьютерных вирусов растет, и злоумышленники придумывают все новые способы, как навредить пользователям и принести себе пользу. Еще несколько лет назад первоочередной задачей создателей вирусов было взломать компьютер пользователя, после чего его об этом оповестить и потребовать денег.

Сейчас же куда более интересно для создателей вирусов получить компьютер пользователя в свое управление, чтобы позже его использовать, например, для рассылки спама, майнинга и других действий. В качестве инструмента-вируса, который используется для “захвата” компьютеров пользователей, применяются руткиты.

1. Что такое руткиты 2. Как определить, что на компьютере есть руткит 3. Как удалить руткиты

Руткиты — это вредоносные программы, которые проникают на компьютер различными путями. Например, руткит может попасть на компьютер с загруженной из интернета программой, либо с файлом из письма.

Активируя руткит на компьютере, пользователь фактически предоставляет злоумышленникам доступ к своему PC.

После активации руткит вносит изменения в реестр и библиотеки Windows, открывая возможность своему “хозяину” управлять данным компьютером.

Через руткит хакеры могут получать всю необходимую информацию с компьютера. Это могут быть конфиденциальные данные (логины, пароли, переписка, информация о банковских карт и прочее). Кроме того, через руткиты хакеры могут управлять компьютером и выполнять различные действия, в том числе мошеннические.

Пример: На компьютер пользователя попал руткит. Спустя некоторое время интернет-провайдер отключил его от сети, объяснив это “массовым флудом”.

Как оказалось, компьютер пользователя через сеть распространял broadcast пакеты данных всем пользователям сети со скорость в несколько тысяч за минуту (тогда как в обычном режиме пользователь отсылает 10-15 таких пакетов).

Примеров, как хакеры могут использовать руткиты на компьютере пользователя, масса. Соответственно, данные вирусы крайне опасны, и следует не допускать заражения ими компьютера.

Обратите внимание: Иногда руткиты проникают на компьютер вполне легально, вместе с одной из программ, загруженных из интернета. Пользователи редко читают лицензионные соглашения, а в них создатели программы могут указать, что вместе с их приложением установится руткит.

Как определить, что на компьютере есть руткит

Руткит с точки зрения обнаружения крайне неприятный вирус.

Не все антивирусные программы его видят, тем более после внедрения в систему, а явных признаков того, что он “поселился” на компьютере, практически нет.

Среди признаков, которые могут указывать на наличие руткита на компьютере, стоит выделить:

• Массовая отправка данных по сети, когда все приложения, взаимодействующие с интернетом, деактивированы. В отличие от многих “обычных” вирусов, руткиты часто маскируют данный фактор, поскольку многие из них работают в “ручном” режиме. То есть массово пересылаться данные могут не постоянно, а лишь в некоторые моменты, поэтому “выловить” данный случай крайне непросто.
• Зависание компьютера. В зависимости от того, какие действия проводит владелец руткита с компьютером жертвы, разнятся нагрузки на “железо”. Если по непонятным причинам компьютер (особенно маломощный) стал постоянно сам по себе подвисать, и это сложно связать с какой-то активностью работающих приложений, возможно, в этом виноват проникший руткит.

Как удалить руткиты

Лучшим средством от руткитов являются антивирусные диски. Многие крупные компании, специализирующиеся на борьбе с вирусами, предлагают свои антивирусные диски. С удалением руткитов хорошо справляются Windows Defender Offline и Kaspersky Rescue Disc.

Выбирать антивирусные диски для борьбы с руткитами следует из соображения, что вирусы при запуске антивирусного диска никак не могут воспрепятствовать проверке системы.

Это связано с тем, что антивирусные диски работают, когда сама Windows не запущена, а вместе с ней не запущены и сопутствующие программы, в том числе вирусы и руткиты.

Также можно выделить несколько приложений, которые являются эффективными при борьбе с руткитами:

• TDSSKiller (от Касперского);
• Dr.Web Cureit;
• AVZ.

Все эти три утилиты распространяются бесплатно, и они могут справиться с распространенными руткитами.

(148 голос., 4,39 из 5)
Загрузка…

Источник: https://okeygeek.ru/rutkity-chto-ehto-takoe-i-kak-ikh-udalit/

Компьютерные вирусы. Руткиты и все, что мы должны о них знать

 Происхождение термина «руткит» корнями уходит в операционные системы семейства UNIX.

В английском варианте «rootkit» состоит из двух слов: root — суперпользователь (аналог администратора в Windows) и kit — набор программных средств, позволяющий злоумышленнику получить «привилегированный» доступ в систему — естественно, без согласия настоящего администратора. Первые руткиты, появились в начале 90-х годов и долгое время были особенностью исключительно UNIX-систем, но хорошие идеи, как известно не пропадают, и конец XX века ознаменовался уже тем, что массово начали появляться вирусные программы подобного рода, функционирующие под Windows.

  Основная функция, которую выполняет руткиты — это обеспечение удаленного доступа в систему. Иными словами, они дают своим создателям практически безграничную власть над компьютерами ничего не подозревающих пользователей.

 Нельзя сказать, что руткит исключительно вредоносная программа.

По сути, ими является подавляющее большинство программных средств защиты от копирования (а так же средств обхода этих защит).

Взять к примеру печально известный случай, когда японская корпорация Sony встраивала утилиты подобного рода в свои лицензионные аудио-диски.

 Как распространяются руткиты

 Самый популярный способ распространения: через программы обмена мгновенными сообщениями.

Попав на компьютер, руткит рассылает сообщения, содержащие вредоносные вложения, всем, чьи адреса есть в списке контактов.

Существует и более современный подход, который заключается во вставке вредоносного кода в файлы PDF. Для активизации достаточно просто открыть файл.

 Какими бывают руткиты

 Существует несколько типов руткитов, отличающихся между собой по степени воздействия на систему и сложности обнаружения.

Самый простой из них — руткит, функционирующий на пользовательском уровне (user-mode).

Он запускается на компьютере, используя права администратора, что позволяет ему успешно скрывать свое присутствие, выдавая собственные действия за работу системных служб и приложений.

Хотя избавиться от него достаточно сложно — вредоносная программа создает копии необходимых файлов на разделах жесткого диска и автоматически запускается при каждом старте системы — это единственный вид, поддающийся обнаружению антивирусными и антишпионскими программами.

 Второй тип — руткиты, функционирующие на уровне ядра (kernel-mode).

Понимая, что вредоносная программа, работающая на уровне пользователя может быть обнаружена, разработчики создали руткит, способный перехватывать функции на уровне ядра операционной системы. Один из признаков его присутствия на компьютере — нестабильность операционной системы.

 Модифицирующий прошивку руткит. Его особенность состоит в том, что он способен прописываться в прошивку. Даже если антивирусная программа обнаружит и удалит руткит, то после перезагрузки, он получит возможность снова вернуться в систему.

 Каковы симптомы заражения руткитом

  Как уже говорилось, обнаружить присутствие их в системе чрезвычайно сложно, но есть некоторые признаки, позволяющие предположить заражение:

• Компьютер не реагирует на действия мыши и клавиатуры.
• Настройки операционной системы меняются без участия пользователя — это один из способов руткита скрыть свои действия.
• Нестабильно работает доступ в сеть из-за значительно возросшего интернет-трафика.

 Стоит отметить, что правильно работающий руктит вполне способен не допустить появления всех этих симптомов, за исключением разве что последнего.

Да и то только в случае, если компьютер выступает в роли ретранслятора спама или участвует в DDoS-атаках (объем трафика порой увеличивается так, что скрыть это не представляется возможным).

 Как обнаружить и удалить руткит

 Обнаружить руткит, а тем более от него избавиться достаточно сложно. Тем не менее, поселившийся в системе руткит уровня пользователя, можно попытаться обнаружить одним из следующих сканеров:

 Сложность заключается в том, что даже удалив его, нельзя быть абсолютно уверенным, что где-нибудь на компьютере не сохранились резервные копии.

Для большей гарантии лучше загрузиться с LiveCD и проверить систему еще раз.

Но самый надежный способ — это подключение к заведомо чистому компьютеру и долгая проверка приложениями типа Encase на присутствие вредоносного кода.

Источник: https://mydiv.net/arts/view-rootkit.html

Что такое руткиты. Программы для удаления руткитов

Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу… И жить спокойно.

Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса.

Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет.

В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ – руткиты

Что такое руткиты?

Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки – незаметно для антивирусов и других защитных программ захватить чужой компьютер.

У таких руткитов, как Hacker Defender, в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером.

Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного.

Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму).

Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.

Хитрости руткитов

Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.

Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек – *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.

«Захват власти» руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.

Как маскируются руткиты?

Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам – характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя».

Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения – этот способ получил название «эвристический анализ».

Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его – уничтожить.

Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»

Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.

Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные

Как распространяются руткиты?

• Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.

• Еще один путь распространения – подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу – и руткит попадает в его компьютер.

  Это становится возможным из-за «дыр» в системе безопасности браузеров

«Самодельные» руткиты

Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам.

Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch.

С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»… Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями.

Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:

• красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
• считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
• скрывать свои вредоносные функции – программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».

Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».

Как избавиться от руткитов?

Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них.

Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit.

После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.

Обобщение результатов тестирования

Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».

Распознавание руткитов

В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.

0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок».

Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.

Удаление руткитов

Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию».

Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%).

В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.

Слишком сложное управление

То, что обнаружение скрытого вредоносного «софта» – дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя…

Итог

К нашей радости, победитель теста – Gmer 1.

0 – и второй призер, AVG Anti-Rootkit, обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях.

Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете).

И Gmer, и AVG Anti-Rootkitудаляют большую часть найденных «вредителей», но все-таки не всех… Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».

Источник: computerbild.ru

Источник: https://www.windxp.com.ru/rotdel.htm