Сегодня Вы узнаете, что такое руткит и как удалить руткит со своего компьютера, обезопасив свой компьютер от этих вредоносных программ.
Что такое Руткит?
Руткит (RootKit) - это программа, сценарий либо некоторый набор программных инструментов, который предоставляет злоумышленнику (владельцу руткита) полный доступ к компьютеру другого пользователя или же, в худшем случае, сети в целом. Под "полным доступом" здесь непосредственно имеется в виду доступ уровня главного администратора (Head Administrator, SuperWiser) . Стоит понимать, что Руткит - это не просто опасная утилита, она действует таким образом, чтобы внедрить на ваш ПК вредные "дополнения" или приложения: трояны, шпионское ПО и прочие вирусы.
Почему руткиты так опасны?
Основная форма атаки руткитов - скрытность. Они будут скрываться глубоко в недрах вашего компьютера. Поскольку они имеют доступ уровня администратора, они осуществлять, например, блокировать ваш Windows-поиск и скрыть любую информацию о RootKit"ах, контролировать AntiVirus и в прямом смысле "приказать" ему игнорировать Rootkit, скрывать из списка активных процессов и многое другое!
Самый известный Руткит был установлен на некоторые устройства Sony. Sony спрятал RootKit на компьютерах людей как часть своей стратегии цифрового управления правами. Это предоставило им эффективный контроль над компьютерами пользователей. Эксперт по вопросам безопасности Sysinternals обнаружил данный RootKit и это вызвало огромный резонанс в мировом сообществе. Sony предлагало загрузить пользователям RootKit
как дополнительное ПО, а также выставляло его в качестве необходимого процесса.
Это подтверждает факт, что RootKit очень трудно обнаружить, и это делает их опасными.
Как удалить Руткит
Ответить на этот вопрос очень трудно. Не ожидайте, что ваш антивирус или фаервол со 100% вероятностью поможет Вам здесь. Самые лучшие RootKit могут легко победить Ваше антивирусное программное обеспечение, так что для того, чтобы удалить руткит Вам нужны специальные инструменты.
Для этого существуют специальные программы и сервисы. Одним из отечественных разработчиков можно смело считать Лабораторию Касперского и специально написанный "киллер" руткитов, который можно скачать по этой ссылке . Да и в целом их продукты довольно качественны, так можете , а затем , что на самом деле довольно просто.
Похожие новости:
Безопасность
Безопасность
Разнообразие компьютерных вирусов растет, и злоумышленники придумывают все новые способы, как навредить пользователям и принести себе пользу. Еще несколько лет назад первоочередной задачей создателей вирусов было взломать компьютер пользователя, после чего его об этом оповестить и потребовать денег. Сейчас же куда более интересно для создателей вирусов получить компьютер пользователя в свое управление, чтобы позже его использовать, например, для рассылки спама, майнинга и других действий. В качестве инструмента-вируса, который используется для “захвата” компьютеров пользователей, применяются руткиты.
Оглавление:Что такое руткиты
Руткиты - это вредоносные программы, которые проникают на компьютер различными путями.
Например, руткит может попасть на компьютер с загруженной из интернета программой, либо с файлом из письма. Активируя руткит на компьютере, пользователь фактически предоставляет злоумышленникам доступ к своему PC. После активации руткит вносит изменения в реестр и библиотеки Windows, открывая возможность своему “хозяину” управлять данным компьютером.
Обратите внимание: Обычные массовые антивирусы способны “поймать” руткит на этапе его загрузки с интернета и загрузки. Но после того как он внес изменения в работу системы, они не видят, что вирус поразил компьютер и не могут решить проблему.
Через руткит хакеры могут получать всю необходимую информацию с компьютера. Это могут быть конфиденциальные данные (логины, пароли, переписка, информация о банковских карт и прочее). Кроме того, через руткиты хакеры могут управлять компьютером и выполнять различные действия, в том числе мошеннические.
Пример: На компьютер пользователя попал руткит. Спустя некоторое время интернет-провайдер отключил его от сети, объяснив это “массовым флудом”. Как оказалось, компьютер пользователя через сеть распространял broadcast пакеты данных всем пользователям сети со скорость в несколько тысяч за минуту (тогда как в обычном режиме пользователь отсылает 10-15 таких пакетов).
Примеров, как хакеры могут использовать руткиты на компьютере пользователя, масса. Соответственно, данные вирусы крайне опасны, и следует не допускать заражения ими компьютера.
Обратите внимание: Иногда руткиты проникают на компьютер вполне легально, вместе с одной из программ, загруженных из интернета. Пользователи редко читают лицензионные соглашения, а в них создатели программы могут указать, что вместе с их приложением установится руткит.
Как определить, что на компьютере есть руткит
Руткит с точки зрения обнаружения крайне неприятный вирус. Не все антивирусные программы его видят, тем более после внедрения в систему, а явных признаков того, что он “поселился” на компьютере, практически нет. Среди признаков, которые могут указывать на наличие руткита на компьютере, стоит выделить:
- Массовая отправка данных по сети, когда все приложения, взаимодействующие с интернетом, деактивированы. В отличие от многих “обычных” вирусов, руткиты часто маскируют данный фактор, поскольку многие из них работают в “ручном” режиме. То есть массово пересылаться данные могут не постоянно, а лишь в некоторые моменты, поэтому “выловить” данный случай крайне непросто.
- Зависание компьютера. В зависимости от того, какие действия проводит владелец руткита с компьютером жертвы, разнятся нагрузки на “железо”. Если по непонятным причинам компьютер (особенно маломощный) стал постоянно сам по себе подвисать, и это сложно связать с какой-то активностью работающих приложений, возможно, в этом виноват проникший руткит.
Как удалить руткиты
Лучшим средством от руткитов являются антивирусные диски. Многие крупные компании, специализирующиеся на борьбе с вирусами, предлагают свои антивирусные диски. С удалением руткитов хорошо справляются Windows Defender Offline и Kaspersky Rescue Disc.
Выбирать антивирусные диски для борьбы с руткитами следует из соображения, что вирусы при запуске антивирусного диска никак не могут воспрепятствовать проверке системы. Это связано с тем, что антивирусные диски работают, когда сама Windows не запущена, а вместе с ней не запущены и сопутствующие программы, в том числе вирусы и руткиты.
Вы уверены, что являетесь единоличным хозяином своего компьютера? Если есть подозрение, что он живет своей жизнью, то самое время задуматься, не шпионят ли за вами.
Первые подобные программы появились около 20 лет назад, преимущественно на Unix, откуда и пришел термин руткит . Root переводится как «корень» и используется в данном контексте для обозначения роли суперпользователя, имеющего неограниченный доступ к системе. Kit – набор, соответственно, rootkit – набор для получения неограниченного доступа. Наиболее распространены на Windows, однако сейчас все активнее продвигаются на Android.
К какому типу вредоносных программ относятся руткиты
Множество пользователей ПК не знает, что такое руткиты и чем они опасны, думая, что это обычные вирусы. На самом деле все гораздо сложнее. Изначально этот вид вредоносных программ задумывался, как некое «дополнение» к существующим вирусам и шпионам, делая их присутствие и вмешательство в систему незаметными для жертвы.
- Не пропустите:
Со временем руткиты эволюционировали и сегодня представляют собой полноценный набор софта для осуществления практически любых планов злоумышленника. Кража информации, паролей, данных банковских карт, слежка за действиями в Сети, установка и удаление софта – это далеко не все, что можно осуществить с их помощью. Фактически, они дают безграничные возможности по дистанционному управлению зараженным ПК через его сетевой порт.
Таким образом, руткиты – это самостоятельный класс вредоносных программ, наряду с вирусами, троянами и червями. «Способ заражения» ничем не отличается: чужие флешки, посещение неблагонадежных сайтов, файлы в полученной почте… Обычно достаточно одного небольшого файлика, который установится глубоко внутри операционной системы, а затем уже незаметно для пользователя «подтянет» дополнительный зловредный софт.
Чем опасны руткиты
Разобравшись, что такое руткиты, давайте выясним, чем они опасны. Прежде всего, это их неуязвимость для обнаружения стандартными вирусами и фаерволами, которые стоят у большинства пользователей. Внедряясь в системные файлы или память, они могут годами оставаться незамеченными и делать свою «черную» работу.
- Это интересно:
Как уже упоминалось, установка «правильного» руткита приводит к тому, что действия злоумышленника по управлению вашим компьютером ограничиваются лишь его фантазией. Даже если у вас нет ценных для мошенников учетных данных или банковских карт, это не значит, что вы им неинтересны . Хакеры могут использовать ваш ПК для совершения противоправных действий, отвечать за которые придется вам.
Часто злоумышленники создают целые сети из зараженных ПК, внедряя в них дистанционно управляемых ботов. С их помощью осуществляются массовые DDoS-атаки, способные обрушить самые надежные сервера. Другими словами, вы можете играть в «Веселую ферму», даже не подозревая, что ваш компьютер в это время участвует в хакерской атаке на сайт Белого дома.
Поиск и удаление руткитов
Перед тем, как удалить вирус, его нужно там отыскать, что не всегда легко. Поэтому, если есть подозрение на заражение, а данные на дисках не представляют особой ценности, то самый простой способ избавиться от «заразы» – переустановить систему с полным форматированием.
Если же вы готовы «принять бой», тогда вам понадобится софт для удаления руткитов. Из хорошо зарекомендовавших себя стоит упомянуть RootkitBuster , Anti-Rootkit , TDSSkiller , Bitdefender Rootkit Remover . Все они довольно просты в использовании, большинство русифицированы.
Руткиты – вид вредоносных программных средств, которые внедряются в операционную систему (ОС) компьютера и открывают к нему неограниченный доступ злоумышленнику через удаленное соединение.
Изначально (более 20 лет назад) руткиты предназначались для того, чтобы скрывать удаленные манипуляции злоумышленника или следы пребывания вирусов, троянов на компьютере жертвы. Сегодня – руткитами называют любые наборы утилит, которые:
- скрывают свою деятельность или деятельность других процессов;
- манипулируют процессами ОС;
- открывают доступ к средствам ОС через сеть;
- собирают пользовательские данные и отправляют их через сеть.
Виды руткитов
Рассмотрим все виды руткитов.
Виды руткитов
Руткиты уровня пользователя – самые распространенные. Они запускаются с правами текущего пользователя, реже администраторскими. Обычно они проникают на компьютер с целью сделать из него зомби-машину для или чтобы украсть конфиденциальные данные пользователя и переслать их злоумышленнику.
Руткиты уровня ядра – редки. Они запускаются с наивысшими правами, загружаются порой раньше операционной системы. Могут находится на компьютере годами, так как их очень сложно обнаружить, и они имеют наивысшие права в системе (root доступ).
Руткиты изменяющие пути исполнения внедряются в ОС, модифицируя обработчики событий операционной системы и системные файлы.
Руткиты, внедряющиеся в ядро, модифицируют само ядро операционной системы, их компоненты взаимодействуют друг с другом, образуя систему внутри системы. Удалить их можно только переустановив ОС.
Особый вид – это программно-аппаратные руткиты, которые работают на уровне выше чем любая операционная система. Они внедряются в механизм программного обеспечения аппаратной виртуализации.
Программно-аппаратные ракиты
Как попадает на компьютер
Руткиты попадают на компьютер пользователя так же, как и все остальное вредоносное ПО. Источником заражения может быть чужая флешка, письмо с незнакомого E-Mail адреса или случайно нажатая ссылка при серфинге в интернет.
На источнике заражения содержится только минимальный код внедрения. Когда он попадает в компьютер, то закрепится в системе и докачает все остальные компоненты с интернета. Когда он соберется в полном составе, он начнет делать то, для чего разработан – собирать данные и отправлять через интернет, устанавливать удаленный доступ к машине (backdoor – англ. черный ход).
Как бороться
Руткиты, которые внедряются в ядро чрезвычайно трудно обнаружить. Их не обнаруживает ни одно автоматизированное средство. Хорошая новость в том, что их единицы. Для каждого из них предназначено собственное средство, вроде TDSSKiller от лаборатории Касперского.
Средства для борьбы с руткитами уровня пользователя встроены в каждый современный пакет интернет защиты. Например, в Касперском (Kaspersky Internet Security) поиск руткитов по умолчанию включен и проводится каждый день, отключить его стандартными средствами нельзя.
Руткиты в Касперском
Это сделано для того, чтобы руткит не смог отключить защиту антивируса, чтобы проникнуть в систему. Если KIS встретит подозрительную активность в системе или узнает компонент руткита по сигнатурам, он заблокирует его.
Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу... И жить спокойно.
Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать хакерские атаки невиданной ранее мощности. В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ - руткиты
Что такое руткиты?
Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки - незаметно для антивирусов и других защитных программ захватить чужой компьютер. У таких руткитов, как Hacker Defender , в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать «замаскированных вредителей» (см. врезку на стр. ??) и использовать их по своему усмотрению. Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.
Хитрости руткитов
Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.
Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек - *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.
«Захват власти » руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.
Как маскируются руткиты?
Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам - характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя». Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения - этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его - уничтожить.
Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»
Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.
Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные
Как распространяются руткиты?
- Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
- Еще один путь распространения - подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров
«Самодельные» руткиты
Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»... Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:
- красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
- считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
- скрывать свои вредоносные функции - программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».
Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».
Как избавиться от руткитов?
Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.
Обобщение результатов тестирования
Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».
Распознавание руткитов
В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.
Удаление руткитов
Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.
Слишком сложное управление
То, что обнаружение скрытого вредоносного «софта» - дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя...
Итог
К нашей радости, победитель теста - Gmer 1.0 - и второй призер, AVG Anti-Rootkit , обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И Gmer , и AVG Anti-Rootkit удаляют большую часть найденных «вредителей», но все-таки не всех... Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».
