Что такое руткиты. Ещё утилиты для поиска и удаления руткитов
Руткит — это набор программных средств, которые при установке на компьютер, обеспечивают удаленный доступ к ресурсам, информации и файлам системы без ведома владельца. Правоохранительные органы и родительские программы “няня” используют различные типы руткитов для тайного мониторинга активности на компьютерах для целей наблюдения, но злоумышленники могут также установить пакет программ rootkit на компьютеры ничего не подозревающих жертв.
Слово “руткит” пришло из операционной системы Unix (ОС), которая была распространена до Microsoft™ и Windows™. Linux и распространение программного обеспечения Беркли (БСД) являются производными от ОС Unix. “Корневой” уровень системы Unix сродни правам администратора ОС Windows. Пульт дистанционного управления — это пакет программного обеспечения был передан как “Кит”, давая нам название “руткит”.
Руткиты создавали шумиху с начала 1990-х годов. Тип руткитов, которые атакуют компьютеры Windows™ добавляют себя в ядро операционной системы. Отсюда rootkit может изменить саму операционную систему и перехватывать звонки в системе (системные запросы для получения информации), предоставляя ложные ответы, чтобы замаскировать присутствие руткита. Поскольку руткит скрывает свои процессы от операционной системы и в системном журнале, его трудно обнаружить.
Злоумышленник может установить руткит на компьютер с помощью различных средств. Руткиты могут быть доставлены как трояны или даже спрятаны в, казалось бы, доброкачественном файле. Это может быть графический файл или программа, которая распространяется посредством электронной почты. У жертвы нет способа узнать, что будет установлено, нажав на рисунок или программу. Руткиты могут также быть установлены с помощью серфинга в Интернете. В всплывающем окне можно указать, например, что программа необходима для просмотра сайта, маскируя руткит как законный плагин.
Как только руткит устанавливается, хакер может тайно общаться с целевым компьютером, когда он онлайн. Руткит обычно используется для установки как скрытая программа и создаёт “черные ходы” в системе. Если хакер хочет получить информацию, то он может установить программу кейлоггер. Эта программа будет тайно записывать все типы действий онлайн, предоставляя результаты в интерлопер при следующей возможности. Кейлоггер программы могут раскрыть имена пользователей, пароли, номер кредитной карты, номера банковских счетов и другие конфиденциальные данные, для потенциального мошенничества или кражи личных данных.
Другие вредоносные программы которые используют для руткитов включают ущерб несколько сотен или даже сотен тысяч компьютеров для формирования отдаленной ‘руткит сети’ которая называется ботнет. Ботнеты используются для рассылки распределенных отказов в обслуживании (DDoS) атаки, спама, вирусов и троянов на другие компьютеры. Эта деятельность, если проследить отправителя, может привести к правовой конфискации компьютеров от невинных владельцев, которые понятия не имели, что их компьютеры были использованы для незаконных целей.
Чтобы защитить свой компьютер от руткитов, эксперты советуют, что безопасность можно поддерживать с помощью анти-вирусных и анти-шпионских программ. Установка исправлений (патчей операционной системы безопасности), как только они становятся доступными, и удалят спам, не открывая его. При серфинге в Интернет разрешать только надежным сайтам для установки программного обеспечения, и не нажимать на подозрительные баннеры или всплывающие окна. Даже кнопка “спасибо” может быть уловкой, чтобы скачать руткит.
Также будет мудрым, чтобы использовать одну или более анти-руткит-программ для сканирования на наличие руткитов хотя бы раз в неделю. Хотя некоторые руткиты могут, предположительно, быть безопасно удалены, общая рекомендация — отформатировать диск и восстановить систему, чтобы убедиться, что все rootkit удалены и все процессы ОС функционируют нормально. Если дело дойдет до этого, чистое резервное копирование позволит сделать такую работу намного легче.
Сегодня Вы узнаете, что такое руткит и как удалить руткит со своего компьютера, обезопасив свой компьютер от этих вредоносных программ.
Что такое Руткит?
Руткит (RootKit) - это программа, сценарий либо некоторый набор программных инструментов, который предоставляет злоумышленнику (владельцу руткита) полный доступ к компьютеру другого пользователя или же, в худшем случае, сети в целом. Под "полным доступом" здесь непосредственно имеется в виду доступ уровня главного администратора (Head Administrator, SuperWiser) . Стоит понимать, что Руткит - это не просто опасная утилита, она действует таким образом, чтобы внедрить на ваш ПК вредные "дополнения" или приложения: трояны, шпионское ПО и прочие вирусы.
Почему руткиты так опасны?
Основная форма атаки руткитов - скрытность. Они будут скрываться глубоко в недрах вашего компьютера. Поскольку они имеют доступ уровня администратора, они осуществлять, например, блокировать ваш Windows-поиск и скрыть любую информацию о RootKit"ах, контролировать AntiVirus и в прямом смысле "приказать" ему игнорировать Rootkit, скрывать из списка активных процессов и многое другое!
Самый известный Руткит был установлен на некоторые устройства Sony. Sony спрятал RootKit на компьютерах людей как часть своей стратегии цифрового управления правами. Это предоставило им эффективный контроль над компьютерами пользователей. Эксперт по вопросам безопасности Sysinternals обнаружил данный RootKit и это вызвало огромный резонанс в мировом сообществе. Sony предлагало загрузить пользователям RootKit
как дополнительное ПО, а также выставляло его в качестве необходимого процесса.
Это подтверждает факт, что RootKit очень трудно обнаружить, и это делает их опасными.
Как удалить Руткит
Ответить на этот вопрос очень трудно. Не ожидайте, что ваш антивирус или фаервол со 100% вероятностью поможет Вам здесь. Самые лучшие RootKit могут легко победить Ваше антивирусное программное обеспечение, так что для того, чтобы удалить руткит Вам нужны специальные инструменты.
Для этого существуют специальные программы и сервисы. Одним из отечественных разработчиков можно смело считать Лабораторию Касперского и специально написанный "киллер" руткитов, который можно скачать по этой ссылке . Да и в целом их продукты довольно качественны, так можете , а затем , что на самом деле довольно просто.
Похожие новости:
Безопасность
Безопасность
В данной категории рассматриваются различные программы для поиска и удаления руткитов. Наибольшая опасность таких вредоносных программ заключается в том, что они получают контроль на уровне ядра операционной системы. Проще говоря, они становятся частью операционной системы, и могут делать что угодно. Скрывать процессы, блокировать доступ, использовать ваш компьютер для работы сети ботнета, загружать различные программы и много другого. При этом вы можете даже и не подозревать, что у вас находится руткит. Потому что их основная задача не сломать или каким-то образом засорить систему (хотя и такие бывают), а скрытно действовать в течении длительного времени. Некоторые из таких руткитов даже способны блокировать работу антивирусных программ .
Обзор бесплатных программ для удаления руткитов
Существует много программ для борьбы с руткитами. Но, большинство из них предназначены для технически подкованных пользователей, которые хорошо знают особенности работы операционных систем. Такие программы вряд ли подойдут обычным пользователям. Однако, в данном классе программ есть и несколько вариантов, которые не потребуют от пользователей особых технических знаний, при этом они будут столь же эффективны.
Программа удаления руткитов Kaspersky TDSSKiller от одноименной компании
Одним из лучших решений можно назвать . Данная программа имеет достаточно простой и понятный интерфейс. Она достаточно быстро работает, и способна обнаружить достаточно большое число руткитов.
На самом деле сложно их порекомендовать обычным пользователям, ведь результаты для них могут показаться просто набором непонятных символов (результаты имеют чисто технических характер, т.е. полное отсутствие красивых фраз "Утилита все сама очистила", "Вам не о чем беспокоиться" и т.д.). Обычно действовать необходимо быстро, поэтому эти программы вы вспомните в последнюю очередь. Но, если все же вы каким-то образом поймали особо редкий и сложно очищаемый руткит, то они станут неоценимыми помощниками в борьбе за свой компьютер, ведь вам будет предоставлен огромный спектр полезной информации.
Программа удаления руткитов Avast Anti-Rootkit от известного производителя
Интерфейс напоминает окно командной строки, но не надо пугаться, ведь интерфейс очень простой и понятный в использовании. Эта программа может сканировать компьютер и MBR на наличие руткитов, а так же фиксировать ряд проблем. Обычным пользователям может быть немного не просто понять результаты работы программы, но тем не менее, программа свою задачу выполняет хорошо. Она так же хорошо нашла TDSS и ряд других современных руткитов, как и TDSS Killer. Но, были небольшие проблемы при их удалении. Зато у данной программы есть одна важная функциональность, без которой порой сложно обойтись при удалении руткитов. Это возможность выполнить FixMBR прямо из Windows. Обычно для этого нужно загрузиться с диска восстановления Windows или LiveCD. А в данной программе для этого надо всего лишь кликнуть на кнопке FixMBR. Именно поэтому такую программу стоит всегда держать при себе.
Антивирусное средство Dr.Web CureIt! профилактика полезна
Следующий продукт, который входит в обзор - это . Его всегда стоит держать при себе. CureIt! не является полноценным инструментом для поиска и удаления руткитов, как другие программы, о которых шла речь ранее. Это скорее бесплатный сканер вредоносных программ , по сути, миниантивирус. Но, он достаточно эффективен при борьбе с рядом руткитов. Правда, гарантировать, что он сможет выловить все руткиты тоже нельзя. Его скорее стоит применять как дополнение к основному средству по борьбе с руткитами. Тем не менее, стоит отметить, что на время своего сканирования он создает достаточно безопасную среду исполнения. Тот факт, что он останавливает все процессы делает ему только плюс, так как вредоносные программы могут попытаться блокировать его работу. Он так же может производить глубокое сканирование вашего диска. Так же позволяет перезагрузиться в безопасный режим для поиска и удаления вредоносных программ.
Ещё утилиты для поиска и удаления руткитов
Sophos Anti-Rootkit
(теперь называется Sophos Virus Removal Tool, к сожалению стала триальной, возможно, старые версии еще можно найти на файловых хранилищах) - неплохая и простая в использовании программа, без возможности указывать тип сканирования (она сканирует все). Но, также как и CureIt!, ее сложно назвать специализированной программой для поиска и удаления руткитов. Т.е. тоже можно использовать как дополнение к основному средству, правда в отличие от CureIT! она требует установки. Процесс работы очень прост. Вы просто запускаете сканирование и ожидаете результатов. После окончания поиска в интерфейсе появляется список обнаруженных угроз. При этом вы можете развернуть каждую угрозу и посмотреть где именно располагаются хвосты каждой конкретной угрозы. Возможно она была бы отличной утилитой по поиску и удалению руткитов, если бы она не была переориентирована со специализированного средства до миниантивируса.
F-Secure Blacklight
(к сожалению, сайт недоступен, необходимо искать версию на файловых хранилищах) это еще один отличный инструмент для удаления руткитов. К сожалению, его поддержка закончилась пару лет назад, и теперь его даже не найти на их сайте. Тем не менее, он все же есть на просторах интернета и совместим с Windows Vista и XP. Если вы попытаетесь запустить его на Windows 7, то будьте готовы увидеть диалоговое окно с сообщением "несовместимая ошибка".
BlackLight хорошо находит и удаляет старые руткитами, но рассчитывать на то, что он сможет обнаружить самые современные руткиты - будет грубой ошибкой. Именно поэтому все же рекомендуется использовать другие программы.
Руководство по быстрому выбору (ссылки для скачивания бесплатных программ для удаления руткитов)
Kaspersky TDSSKiller
| Простой и понятный интерфейс. Быстро работает. Справляется с известными современными руткитами. | ||
| Очень похоже, что программа распознает только небольшой диапазон руткитов. |
GMER
| Отличный инструмент с подробными техническими отчетами о сканировании. | ||
| Нет файла справки, но информация есть в интернете. Не подходит для обычных пользователей. |
Avast Anti-Rootkit
| Хорошо работает. Обнаруживает большинство руткитов. Проста в использовании. Возможность "Fixmbr "в Windows - неоценимо. | ||
| Результаты иногда трудно понять. При попытке удалить некоторые руткиты зависала. |
Dr.Web CureIt!
| Останавливает процессы. Создает собственную среду исполнения. | ||
| Нельзя использовать как основное средство по борьбе с руткитами. |
Руткит – это программа, незаметно для пользователя проникающая в систему. Он способен перехватывать контроль управления компьютером, изменять его базовые конфигурации, а также осуществлять за деятельностью пользователя или попросту шпионить за ним. Однако руткит не всегда является вредоносной программой. Существует программное обеспечение, которое используется, например, в офисах для контроля деятельности персонала. Такие программы незаметно следят за пользователем, однако вредоносными по сути своей не являются. Если же руткит появляется на личном компьютере без ведома владельца, в большинстве случаев – это можно считать атакой.
В отличие от вирусов и троянов, обнаружение руткитов – не такая простая задача. Ни один антивирус в мире не способен обеспечить защиту от всех существующих руткитов. Тем не менее, использование лицензионных антивирусов с последними обновлениями антивирусных баз помогает избавиться от некоторых известных руткитов. Наличие руткитов на компьютере можно также определить по косвенным признакам, например, изменившемуся поведению некоторых программ или всей системы в целом. Полное еще более сложная задача, т.к. часто они представляют собой комплексы из нескольких файлов. Отследить каждый из них и уверенно утверждать, что тот или иной файл является частью руткита сложно. Самый простой способ избавиться от такого вредоносного кода – восстановить систему в более раннее состояние, до того как руткит появился на компьютере.
Видео по теме
Руткит – это такой вирус, который проникает в систему и начинает вредить. Он умеет скрывать как свои следы деятельности, так и вирусов-напарников. Делает он это с помощью захвата низкоуровневых функций API и внедрения в реестр. А еще они могут отдать контроль над ПК какому-нибудь злобному хакеру. Обнаружить их непросто, зато легко удалить.
Инструкция
Причины подозревать присутствие прокравшихся в систему руткитов: не запускаются сканеры-антивирусы (Virus Removal Касперского), резидентные антивирусы , друзья жалуются на потоки спама, идущие с вашего ПК, а некоторые странички почему-то упорно вас перенаправляют куда-то. В таком случае компьютер пора лечить.
Легче всего воспользоваться утилитами. Они бесплатны и просты. Касперский предлагает TDSSKiller – специальную программу против руткитов. Скачать ее можно с сайта Kaspersky в виде.exe-файла. Его нужно запустить и начать проверку. Все подозрительные файлы сохраняйте в карантин, а потом нужно будет зайти на сайт VirusTotal.com и отправить их из папки \TDSSKiller_Quarantine в системном разделе на анализ.
Еще одна вещь от Касперского, а вернее, от сотрудника лаборатории Зайцева Олега – AVZ. Перед ее запуском создается точка бэкапа, потому как утилита вычищает все. Перед стартом галочку поставьте напротив «Детектировать RooTkit и перехватчики API» и запускайте.
В глобальной сети Интернет существует огромное количество вирусов. Одни могут носить шпионский характер, выуживая информацию с ПК, другие - наносить повреждения и убытки. Вредоносные вирусы способны вывести из строя не только установленную на компьютере операционную систему, но и подключенное к нему оборудование. К такого рода вирусам принадлежит руткит. Мы рассмотрим, что такое руткит, какие его виды встречаются. Также узнаем, как избавиться от этого вируса.
Что такое руткит?
Руткит принадлежит к группе вредоносных программ, которые, попадая в операционную систему компьютера, скрытно выполняют определенные функции, заданные разработчиком. Для обычного пользователя работа вируса незаметна. Но при этом вирус руткит полностью контролирует все действия на компьютере. Он может использовать различные вредоносные инструменты, например, передавать данные, вводимые с клавиатуры, сохраненные и вводимые пароли, считывать данные с банковских карт и использоваться для DDoS-атаки с данного компьютера без участия пользователя. Несмотря на то, что rootkit был изначально создан на основе Unix-систем, распространился вирус в ОС Windows в различных версиях. Многие из них недоступны для распознавания антивирусной программой и средствами безопасности системы.
Виды руткитов
Rootkit бывает двух видов: пользовательский и системный. Что такое руткит пользовательского характера, говорит сам термин. Он работает, как любое приложение, установленное на компьютере. При этом расходуется большой объем оперативной памяти, а всеми запущенными процессами управляет вирус на свое усмотрение. Руткит системного плана внедряется непосредственно в ядро операционной системы, получая максимальный доступ к информации на компьютере. Данная разновидность вирусов наиболее опасна и недоступна для обнаружения различными антивирусными средствами. Такой вирус может самостоятельно управлять действиями установленной антивирусной программы. Недавно появилась разновидность руткитов под ОС Android. Заражают они мобильные телефоны после установки на смартфон зараженных приложений. Еще одна разновидность - bootkit - внедряется в загрузчик ОС и еще до запуска самой системы начинает управлять компьютером.
Как функционирует руткит в операционной системе?
В любом браузере обязательно найдутся «дырки». Наиболее часто rootkit попадает в операционную систему именно через них благодаря плохой защите. Через подобную лазейку вирус внедряется в операционную систему. Далее он распространяется по всей ОС, используя уязвимые места, при этом может устанавливать различные компоненты, необходимые для удаленного управления компьютером без участия пользователя, и производить прочие вредоносные действия. Bootkits могут продолжать активные вредоносные действия, даже если компьютер находится в спящем режиме или непосредственно в процессе запуска ОС.
Как удалить rootkit?
Удалить вирус можно с использованием различных антивирусных программ на базе эвристического анализа компонентов файла. Что такое руткит, антивирусная программа распознает по имеющимся в базе данным. Эти данные ежедневно обновляются создателями антивируса. Антивирусная программа может обнаружить только неактивные руткиты. Удалить уже распространившийся активный вирус очень сложно, порой даже невозможно. Для этого существуют специальные программы для борьбы с руткитами, например, Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Если руткит удалить все же не удалось или в процессе удаления повредились компоненты операционной системы, потребуется полная переустановка ОС. Не рекомендуется переустанавливать ОС на уже установленную. Перед новой установкой ОС жесткий диск необходимо отформатировать.
