Что такое руткиты и чем они опасны. Что такое руткиты и борьба с ними в «Касперском

Руткит (rootkit) - это вредоносное программное обеспечение (программа), позволяющее скрыть следы деятельности вируса (вредоносной программы) в системе.

Руткит устанавливается сразу, как только получает доступ к атакуемой системе - компьютеру или ноутбуку.

Руткиты не только сами стараются быть незаметными, но и скрывают различные другие вирусы, которые смогли проникнуть в систему компьютера. Незаметные для программ защиты они атакуют компьютер. Так руткиты могут передавать персональные данные пользователя (логины и пароли) хакерам, выполнять установку других вирусов и пр.

Руткиты различаются по способу их выполнения и постоянству активации.

    По способу выполнения руткиты бывают:
  • 1. Руткиты, которые модифицируют структуру данных ядра операционной системы;
  • 2. Руткиты пользовательского режима, в этом случае идет перехват системной информации.
    По постоянству активации различают:
  • 1. Постоянные руткиты, которые активируются при каждом запуске системы;
  • 2. Непостоянные руткиты, которые не могут запускаться самостоятельно после перезагрузки операционной системы.

Руткиты попадают в ПК разными путями. Пользователь может заразить свой компьютер, если зайдет на зараженный сайт, который подвергся хакерской атаке. Иногда руткит может находиться в письме, замаскировавшись под прикрепленный документ. Пользователь, попытавшись открыть такой документ, на самом деле активирует вредоносную программу и заражает свой компьютер. Обычно руткит изменяет какую-нибудь библиотеку операционной системы - файл с расширением *.dll, так его становится трудно обнаружить, и он спокойно может загружать на компьютер или ноутбук различные вирусные программы, о чем пользователь знать не будет.

Существует множество способов защиты компьютера от руткитов. В первую очередь к ним относится установка защитных программ: качественного антивируса и файрвола. Антивирусная программа должна быть лицензионной и всегда активной, а файрвол защитит компьютер пользователя от нежелательного доступа. Пользователь должен следить, чтобы противовирусные программы регулярно обновлялись.

Тем не менее, защита компьютера от руткитов не так проста, как может показаться на первый взгляд. Антивирусная программа способна распознать руткит, только когда он неактивен. Но как только пользователь, сам того не подозревая, активирует руткит, он активируется и проникает в систему, и антивирус уже не может его обнаружить. После активации руткита выявить его могут только специальные программы, например, AVG Anti-Rootkit, Gmer и прочие.

Руткиты - это новый вид вредоносных программ, которые гораздо опаснее обычных вирусов. С их помощью хакеры заражают компьютеры и через сеть Интернет получают доступ к конфиденциальной информации пользователя, они создают из зараженных компьютеров целые сети, что позволяет им устраивать массовые хакерские атаки на различные электронные ресурсы глобальной сети.

Руткит - это вредоносная программа, предназначенная для получения злоумышленниками прав суперпользователя на устройстве без ведома жертвы.

Как руткит проникает на устройство пользователя

Способов проникновения руткитов на компьютер пользователя множество, среди них загрузка посредством инфицированной сторонней программы или подключаемого модуля. Руткиты не способны самораспространяться, но, как правило, являются частью более сложных, смешанных угроз.

Как распознать руткит

Обнаружение руткита в системе - задача совсем не тривиальная. При поиске объектов в системной памяти, проверяйте все права выполняемых процессов, одновременно отслеживая запросы импортированных библиотек (из DLLs), которые, в свою очередь, могут быть отклонены или перенаправлены на исполнение иных функций. Если вы хотите быть уверены в том, что на вашем ПК нет руткитов, воспользуйтесь сканером системы, встроенным в современных антивирусных решениях (напр. в бесплатном антивирусе Avast).

Как отстранить руткит

Антивирусная программа способна обнаружить присутствие руткитов в системе. Во время сканирования на наличие руткитов большинство программ остановят исполнение руткита, однако удаление руткита должно быть произведено вручную.

Как уберечься от руткитов
  • Используйте современное антивирусное решение с модулем защиты брандмауэром.
Защититесь от спама

Использование современного антивирусного решения с модулем антиспама - это самый эффективный способ предотвращения, обнаружения и отстранения руткита с компьютера. Наиболее эффективным антивирусным решением является Avast.
Почему именно Avast?
  • Наиболее распространенный антивирус в мире - 400 млн пользователей
  • Титулованный антивирус
  • Многократный победитель независимых тестов
  • "Антивирус с самой низкой нагрузкой на системные ресурсы и производительность ПК (AV comparatives)"
  • Уникальные функции - менеджер паролей, аудитор безопасности домашней сети, очистка браузера - и многие другие
  • И все это - БЕСПЛАТНО

Происхождение термина "руткит " корнями уходит в операционные системы семейства UNIX. В английском варианте "rootkit " состоит из двух слов: root - суперпользователь (аналог администратора в Windows) и kit - набор программных средств, позволяющий злоумышленнику получить "привилегированный" доступ в систему - естественно, без согласия настоящего администратора. Первые руткиты, появились в начале 90-х годов и долгое время были особенностью исключительно UNIX-систем, но хорошие идеи, как известно не пропадают, и конец XX века ознаменовался уже тем, что массово начали появляться вирусные программы подобного рода, функционирующие под Windows.

Кто и зачем использует руткиты

Основная функция, которую выполняет руткиты - это обеспечение удаленного доступа в систему. Иными словами, они дают своим создателям практически безграничную власть над компьютерами ничего не подозревающих пользователей. Внедряясь в систему, такие вредоносные программы могут легко перехватывать и модифицировать низкоуровневые API функции, что позволяет им качественно скрывать от пользователя и антивирусного ПО свое присутствие на компьютере.

Нельзя сказать, что руткит исключительно вредоносная программа. По сути, ими является подавляющее большинство программных средств защиты от копирования (а так же средств обхода этих защит). Взять к примеру печально известный случай, когда японская корпорация Sony встраивала утилиты подобного рода в свои лицензионные аудио-диски.

Как распространяются руткиты

Самый популярный способ распространения: через программы обмена мгновенными сообщениями. Попав на компьютер, руткит рассылает сообщения, содержащие вредоносные вложения, всем, чьи адреса есть в списке контактов. Существует и более современный подход, который заключается во вставке вредоносного кода в файлы PDF. Для активизации достаточно просто открыть файл.

Какими бывают руткиты

Существует несколько типов руткитов, отличающихся между собой по степени воздействия на систему и сложности обнаружения. Самый простой из них - руткит, функционирующий на пользовательском уровне (user-mode ). Он запускается на компьютере, используя права администратора, что позволяет ему успешно скрывать свое присутствие, выдавая собственные действия за работу системных служб и приложений. Хотя избавиться от него достаточно сложно - вредоносная программа создает копии необходимых файлов на разделах жесткого диска и автоматически запускается при каждом старте системы - это единственный вид, поддающийся обнаружению антивирусными и антишпионскими программами.

Второй тип - руткиты, функционирующие на уровне ядра (kernel-mode ). Понимая, что вредоносная программа, работающая на уровне пользователя может быть обнаружена, разработчики создали руткит, способный перехватывать функции на уровне ядра операционной системы. Один из признаков его присутствия на компьютере - нестабильность операционной системы.

Гибридный руткит. Этот тип вредоносного ПО сочетает в себе простоту в использовании и стабильность руткитов пользовательского режима и скрытность руткитов уровня ядра. Микс получился весьма успешным и в настоящий момент широко используется.

Модифицирующий прошивку руткит. Его особенность состоит в том, что он способен прописываться в прошивку. Даже если антивирусная программа обнаружит и удалит руткит, то после перезагрузки, он получит возможность снова вернуться в систему.

Каковы симптомы заражения руткитом

Как уже говорилось, обнаружить присутствие их в системе чрезвычайно сложно, но есть некоторые признаки, позволяющие предположить заражение:

  • Компьютер не реагирует на действия мыши и клавиатуры.
  • Настройки операционной системы меняются без участия пользователя - это один из способов руткита скрыть свои действия.
  • Нестабильно работает доступ в сеть из-за значительно возросшего интернет-трафика.

Стоит отметить, что правильно работающий руктит вполне способен не допустить появления всех этих симптомов, за исключением разве что последнего. Да и то только в случае, если компьютер выступает в роли ретранслятора спама или участвует в DDoS-атаках (объем трафика порой увеличивается так, что скрыть это не представляется возможным).

Привет друзья, сейчас я Вам на простом примере из жизни объясню что такое руткиты . Один раз, ко мне за помощью обратился мой знакомый, проблема была в том, что ему отказал в обслуживании провайдер интернета за так называемый (broadcast) трафик или простыми словами - флуд. Что интересно, мой приятель и понятия не имел что это такое и как с этим бороться. Оператор провайдера просто сообщил моему товарищу что он распространяет broadcast пакеты всем пользователям сети со скоростью 7000-9000 пакетов в минуту и этим понижает общую пропускную способность сети. Операционная система у моего приятеля была Windows XP.

Что такое broadcast трафик? Это пакеты информации, предназначенные всем компьютерам сети. В обычном режиме один компьютер в сети рассылает в минуту 15 таких пакетов, компьютер же моего друга рассылал 9000 пакетов в минуту и его просто отключили от сети посоветовав переустановить драйвер на сетевой адаптер или полностью операционную систему. И на самом деле, причиной появления таких пакетов является неисправный драйвер сетевого адаптер, сам сетевой адаптер, с ошибками работающая винда или... вирусы!

Переустановка драйвера ничего не дала, также не помогла установка нового сетевого адаптера в разъём PCI, а вот переустановка Windows принесла свои плоды ровно на два дня, затем моего приятеля опять отключили от мира за тот же самый флуд.

Что делать? Первым делом я решил проверить компьютер на вирусы, результат оказался отрицательным и я ничего не нашёл, в конце концов я решил проверить Windows XP с помощью проверенной утилитки RootkitRevealer от Марка Руссиновича, данная утилита не удаляет руткиты, а только обнаруживает их и она нашла несколько руткитов!

Примечание: RootkitRevealer не работает в 64-битных операционных системах, также не советую запускать её в Windows 7, 8, 10, работайте лучше с программами: .

Пришлось отсоединять жёсткий диск моего друга и подсоединять его к своему компьютеру вторым, затем сканировать его диск C: утилитой TDSSKiller, которая и жахнула эти руткиты. Но руткиты сами не распространяют broadcast пакеты, они только скрывают негодяя, который это делает. После проверки жёсткого диска моего приятеля своим антивирусом я нашёл несколько червей, именно они и "долбились" по сети рассылая broadcast или multicast пакеты пытаясь пробить брешь в других компьютерах в сети и заразить их. Чем больше компьютеров заразишь, тем лучше, ведь получится Ботнет - состоящий из множества компьютеров, который можно использовать для DOS-атаки на любой ресурс в сети.

Позже мы установили как именно попали руткиты на компьютер моего друга - через взломанную компьютерную игрушку, которую мой приятель скачал на открытом ресурсе.

Что такое руткиты

Согласно классификации некоторых разработчиков антивирусных программных продуктов, руткиты (rootkits) не являются отдельным типом вредоносного ПО, а представляют собой более совершенствованный тип . В то же время, если трояны, как правило, маскируются под полезные программы, то руткиты прячутся более профессионально – с глубоким внедрением в систему.

Существуют даже руткиты уровня ядра, они заменяют часть кода ядра операционной системы, внедрённый руткитом модифицируемый код скрывает в себе программу способную удалённо управлять заражённым компьютером.

Другие руткиты добавляют свой код к распространённым библиотекам или драйверам, но не нарушают их основной функции.

Современные версии руткитов умеют прятать от пользователя папки, файлы, параметры системного реестра, работающие процессы приложений, системные службы, драйвера, сетевые соединения. Принцип их работы базируется на модификации данных и программного кода в памяти системы. Для чего всё это делается ?

Основные цели руткитов

Руткит (rootkit) сам по себе не опасен, и, опять же, сам по себе не является вредоносной программой – он не размножается, как , как они же, не уничтожает пользовательские данные и компьютерную технику. Руткиты не стремятся заразить через сеть другие компьютер, проникнув в один из них, как это делают . Задача руткита – скрыть действия другой вредоносной программы, которая орудует на компьютере. Руткит – это такой себе пособник преступника. А вот действия уже преступника – самой вредоносной программы, например, вируса, трояна или – могут иметь последствия различной степени опасности. Это может быть и предоставление мошеннику доступа к компьютеру, и слежка за действиями пользователя, и кража его конфиденциальных данных, и прочие весьма неприятные вещи, на которые способно вредоносное ПО.

Например руткит может послужить вспомогательным инструментом для внедрения в операционную систему трояна Backdoor (чёрный ход), основная задача которого – скрытное и полное управление заражённым компьютером превращающимся в настоящее "зомби", такой компьютер абсолютно не служит своему хозяину, а работает только на злоумышленников участвуя в различных DOS - атаках на определённые сетевые ресурсы.

Руткиты не всегда внедряются в систему не санкционировано. Разработчики иногда легально внедряют руткиты в полезные программы, не забыв при этом «побеспокоиться» о том, чтобы пользователь разрешил их установку вместе с основной программой.

Ещё одним отличием руткитов от прочего типа вредоносного ПО является возможность внедрения не только в Windows, но также и в Linux, которая считается безопасной операционной системой отчасти по той простой причине, что пока массово разработчики вирусов и троянов не особо заинтересованы в её пользовательской аудитории. Правда, руткиту внедриться в Linux намного сложнее, нежели в Windows.

Признаки наличия в системе руткита

Внедрённый в систему руткит может быть причиной подвисания маломощного компьютера. Но это, акцентирую, только теоретическая возможность того, что в компьютер проник руткит, ведь причин слабеньких устройств может быть очень много.

Другой признак возможного наличия в системе руткита – это отправка данных по сети при условии, что все программы и системные службы, взаимодействующие с сетью, не активны. Опять же, это не самый надёжный способ диагностики, поскольку руткиты, как правило, работают очень аккуратно, и в момент отправки им данных с компьютера ещё нужно суметь попасть.

Очевидных каких-то признаков, характерных именно для руткитов, увы, нет. о наличии в компьютере руткитов скажут гораздо больше, нежели внешние признаки.

Как избавиться от руткитов?

Друзья, лучший способ обнаружить руткит, это сканировать антивирусом жёсткий диск с заражённой Windows из другой операционной системы, например снять винчестер и подсоединить его к другому компьютеру вторым устройством (как сделал я) или использовать антивирусный загрузочный диск. Подробно о том, как избавиться от руткитов,

В глобальной сети Интернет существует огромное количество вирусов. Одни могут носить шпионский характер, выуживая информацию с ПК, другие - наносить повреждения и убытки. Вредоносные вирусы способны вывести из строя не только установленную на компьютере операционную систему, но и подключенное к нему оборудование. К такого рода вирусам принадлежит руткит. Мы рассмотрим, что такое руткит, какие его виды встречаются. Также узнаем, как избавиться от этого вируса.

Что такое руткит?

Руткит принадлежит к группе вредоносных программ, которые, попадая в операционную систему компьютера, скрытно выполняют определенные функции, заданные разработчиком. Для обычного пользователя работа вируса незаметна. Но при этом вирус руткит полностью контролирует все действия на компьютере. Он может использовать различные вредоносные инструменты, например, передавать данные, вводимые с клавиатуры, сохраненные и вводимые пароли, считывать данные с банковских карт и использоваться для DDoS-атаки с данного компьютера без участия пользователя. Несмотря на то, что rootkit был изначально создан на основе Unix-систем, распространился вирус в ОС Windows в различных версиях. Многие из них недоступны для распознавания антивирусной программой и средствами безопасности системы.

Виды руткитов

Rootkit бывает двух видов: пользовательский и системный. Что такое руткит пользовательского характера, говорит сам термин. Он работает, как любое приложение, установленное на компьютере. При этом расходуется большой объем оперативной памяти, а всеми запущенными процессами управляет вирус на свое усмотрение. Руткит системного плана внедряется непосредственно в ядро операционной системы, получая максимальный доступ к информации на компьютере. Данная разновидность вирусов наиболее опасна и недоступна для обнаружения различными антивирусными средствами. Такой вирус может самостоятельно управлять действиями установленной антивирусной программы. Недавно появилась разновидность руткитов под ОС Android. Заражают они мобильные телефоны после установки на смартфон зараженных приложений. Еще одна разновидность - bootkit - внедряется в загрузчик ОС и еще до запуска самой системы начинает управлять компьютером.

Как функционирует руткит в операционной системе?

В любом браузере обязательно найдутся «дырки». Наиболее часто rootkit попадает в операционную систему именно через них благодаря плохой защите. Через подобную лазейку вирус внедряется в операционную систему. Далее он распространяется по всей ОС, используя уязвимые места, при этом может устанавливать различные компоненты, необходимые для удаленного управления компьютером без участия пользователя, и производить прочие вредоносные действия. Bootkits могут продолжать активные вредоносные действия, даже если компьютер находится в спящем режиме или непосредственно в процессе запуска ОС.

Как удалить rootkit?

Удалить вирус можно с использованием различных антивирусных программ на базе эвристического анализа компонентов файла. Что такое руткит, антивирусная программа распознает по имеющимся в базе данным. Эти данные ежедневно обновляются создателями антивируса. Антивирусная программа может обнаружить только неактивные руткиты. Удалить уже распространившийся активный вирус очень сложно, порой даже невозможно. Для этого существуют специальные программы для борьбы с руткитами, например, Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Если руткит удалить все же не удалось или в процессе удаления повредились компоненты операционной системы, потребуется полная переустановка ОС. Не рекомендуется переустанавливать ОС на уже установленную. Перед новой установкой ОС жесткий диск необходимо отформатировать.



Рекомендуем другие статьи
Как праздновать летнее солнцестояние Эммануэль Дагер: Исцеляющее солнцестояние
Как праздновать летнее солнцестояние Эммануэль Дагер: Исцеляющее солнцестояние
Программирование микроконтроллеров AVR для начинающих Программирование контроллеров avr для начинающих
Программирование микроконтроллеров AVR для начинающих Программирование контроллеров avr для начинающих
Завис планшет - что делать?
Завис планшет - что делать?