Що таке руткіти. Програми для видалення руткітів
зміст
- Вступ
- Що таке руткіти?
- хитрощі руткітів
- Як маскуються руткіти?
- Як поширюються руткіти?
- «Саморобні» руткіти
- Як позбутися від руткітів?
- Узагальнення результатів тестування
- розпізнавання руткітів
- видалення руткітів
- Занадто складне управління
- підсумок
Вступ
Ще недавно зловмисники писали лише віруси, які захисні програми виловлювали і знешкоджували без особливих проблем. Досить було встановити і правильно налаштувати антивірусну систему, регулярно оновлювати її базу ... І жити спокійно.
Сьогодні інтернет-зловмисники діють значно масштабніше! Їх вже не приваблює «всього лише» зараження сотень тисяч комп`ютерів і навіть пандемія нового вірусу. Вони прагнуть отримати контроль над безліччю ПК і використовувати їх для своїх темних справ. З мільйонів заражених систем вони створюють величезні мережі, керовані через Інтернет. Використовуючи гігантську обчислювальну продуктивність «зомбі-мереж», можна, наприклад, виробляти масові розсилки спаму і організовувати хакерські атаки небаченої раніше потужності. В якості допоміжного інструменту для таких цілей дуже часто використовують новий, особливо небезпечний тип шкідливих програм - руткіти
Що таке руткіти?
Руткіти не тільки ховаються самі, але і приховують інше шкідливе ПЗ, проникло в систему. Мета маскування - непомітно для антивірусів та інших захисних програм захопити чужий комп`ютер. У таких руткітів, як Hacker Defender, в запасі досить витончені трюки. Цей замаскований «шкідник» в обхід брандмауера відкриває таємні лазівки в Інтернет, які дозволяють хакерам управляти зараженим комп`ютером. Через створений руткитами «чорний хід» можна отримувати конфіденційні дані (наприклад, паролі) або впроваджувати в систему інші шкідливі програми. Руткітів поки небагато. Але, на жаль, для них (як і для вірусів) створені «конструктори», використовуючи які, навіть малодосвідчені хулігани можуть створювати «замаскованих шкідників» (див. Врізку на стор. ??) і використовувати їх на свій розсуд. Більшість антивірусних програм розпізнає такий шкідливий «софт», поки він не активний (скажімо, «дрімає» у вигляді документа, прикріпленого до електронного листа). Але варто подвійним клацанням відкрити здається нешкідливим файл, і руткит активується і «забереться» в потаємні глибини системи. Після цього знайти і знешкодити його зможуть лише спеціальні додатки. ComputerBild протестував 8 програм, завданням яких є розпізнавання і видалення руткітів. Всі учасники тестування присутні на DVD, що додається до цього номеру журналу.
Відео: Видаляємо руткітів - 2. Програма для видалення руткітів
хитрощі руткітів
Руткіт пробирається в комп`ютер, щоб використовувати його в кримінальних цілях. Він може бути прикріплений до електронного листа, наприклад у вигляді рахунку в форматі PDF. Якщо ви клацнете по уявному рахунку, шкідник-невидимка активується.
Потім руткит забирається глибоко в операційну систему Windows і змінює один з файлів бібліотек - * .dll. І послідовність команд, яка управляє правильною роботою програм, потрапляє під контроль шкідника.
«Захоплення влади»Руткітом залишається непоміченим, і він спокійно завантажує з Інтернету інший шкідливий« софт ». Нові шкідники маскуються за допомогою руткита. Тепер комп`ютер може бути використаний для різних шахрайських дій, наприклад для розсилки спаму.
Як маскуються руткіти?
Антивірусні програми зазвичай розпізнають шкідливий «софт» по сигнатурам - характерним ланцюжках коду в тілі вірусу. Це свого роду «особливі прикмети», за якими можна впізнати і знищити «шкідника». Виробники захисних програм регулярно розміщують в Інтернеті поновлення з останніми виявленими сигнатурами. Крім того, антивіруси дізнаються «шкідників» по деяких особливостей їх поведінки - цей спосіб отримав назву «евристичний аналіз». Якщо, наприклад, якась програма збирається видалити всі MP3-файли, збережені на жорсткому диску, швидше за все, це вірус, роботу якого потрібно блокувати, а його - знищити.
Щоб обдурити антивірусні програми, руткіти маніпулюють процесами, за допомогою яких комп`ютерні програми обмінюються даними. З цих потоків вони видаляють відомості про себе та інших шкідників. Антивірус отримує неправдиву інформацію і вважає, що «в Багдаді все спокійно»
Деякі руткіти (так звані «руткіти режиму користувача») перехоплюють потоки даних між програмами (наприклад, між Windows і антивірусом) і маніпулюють ними на свій розсуд.
Інші руткіти (їх називають «руткитами режиму ядра») «сидять» глибше, між окремими компонентами Windows або навіть в системному реєстрі, і звідти посилають антивірусу неправдиві дані
Як поширюються руткіти?
- Іноді руткіти приходять в поштових вкладеннях, маскуючись під документи різних форматів (наприклад, PDF). Насправді, такий «уявний документ» є виконуваним файлом. Той, хто спробує його відкрити, активує руткит.
- Ще один шлях поширення - зазнали хакерської маніпуляції сайти. Нічого не відає користувач просто відкриває веб-сторінку - і руткит потрапляє в його комп`ютер. Це стає можливим через «дірок» в системі безпеки браузерів
«Саморобні» руткіти
Тисячі комп`ютерів, заражених руткитами, утворюють величезні «зомбі-мережі», які використовуються для розсилки спаму в обхід нічого не підозрюють користувачів. До останнього часу вважалося, що такі махінації доступні лише досвідченим програмістам-професіоналам. Однак уже в найближчому майбутньому ситуація може змінитися. В Інтернеті все частіше зустрічаються так звані Toolkits (набори інструментів) для виготовлення прихованих шкідників, наприклад, досить популярний Pinch. За допомогою цього «софта» навіть недосвідчений користувач може створити «шкідника-невидимку» ... Основою для нього послужить Pinch Builder Trojan, який за допомогою програмного інтерфейсу Pinch можна оснастити різноманітними шкідливими функціями. Згідно з інформацією, опублікованою на сайті виробника антивірусів Panda Software, Pinch Builder Trojan може:
Відео: Що таке руткіт і як його видалити?
- красти паролі браузерів, зокрема Mozilla і Opera, і пересилати їх інтернет-мошеннікам- завдяки доступу до спеціальних областях Windows він також вміє вивідувати паролі Internet Explorer і Outlook;
- зчитувати дані, що вводяться з клавіатури (зокрема, паролі), і передавати їх в Інтернет;
- приховувати свої шкідливі функції - програма майстерно захищає «троянські» процеси від виявлення антивірусним «софтом».
Андреас Маркс, експерт антивірусної тестовій лабораторії AV-Test, яка регулярно проводить випробування на замовлення ComputerBild, підтверджує: «Набори для створення троянів вже продаються на спеціальних веб-сайтах за кілька сотень євро. Якщо по Інтернету пошириться широка хвиля таких саморобних «шкідників», руткіти стануть справжнім лихом для користувачів ».
Відео: Що таке руткіти і як їх видалити
Як позбутися від руткітів?
Встановіть програму Gmer, яка перемогла в нашому тесті. Вона впевнено виявляє руткіти і прихованих «шкідників» інших типів, а також здатна видалити більшість з них. Решта руткіти можна «доконати» за допомогою утиліти AVG Anti-Rootkit. Після видалення «шкідників» слід перевірити систему звичайним антивірусом, наприклад з пакету програм Kaspersky Internet Security.
Узагальнення результатів тестування
Наш тест 8 антіруткіта показав, що проти хитрих замаскованих шкідників є надійний засіб. Правда, щоб позбутися від непрошених гостей, вам доведеться відправити на пошуки руткітів відразу кілька «мисливців».
розпізнавання руткітів
В ході тестування з`ясувалося, що далеко не всім «мисливцям за руткитами» під силу вивести на чисту воду замаскованих «шкідників». Виявити всі активні руткіти змогли лише три програми: переможець тесту Gmer 1.0, AVG Anti-Rootkit і Rootkit Unhooker. Той, хто користується цими додатками, може бути впевнений, що його комп`ютер не піддасться нашестю «шкідників-невидимок». Крім того, Gmer виявилася єдиною програмою, якій вдалося знайти все руткіти в альтернативних потоках даних.
видалення руткітів
Нітрохи не краще було з видаленням шкідливого «софта». Gmer хоча і знайшла все руткіти, змогла знищити тільки 63% з них, а також 87% інших небезпечних програм, маскувати «за компанію». Шкідників, які ховалися в альтернативних потоках даних, пощастило ще менше: на жорстких дисках тестових комп`ютерів не залишилося жодного з них. Це і принесло програмі перемогу. Зате у другого призера частка віддалених активних руткітів була вище майже на чверть (86,67%). У тому малоймовірному випадку, коли переможець тесту Gmer не зможе видалити з жорсткого диска всіх шкідників, AVG Anti-Rootkit доведе роботу до кінця.
Занадто складне управління
Те, що виявлення прихованого шкідливого «софта» - справа серйозної, помітно по складності управління програмами. Інтерфейс всіх додатків, які брали участь в тесті, англомовний, а незрозумілі повідомлення здатні збити з пантелику навіть досвідченого користувача ...
підсумок
На щастя, переможець тесту - Gmer 1.0 - і другий призер, AVG Anti-Rootkit, виявили всі 30 руткітів, «сховалися» на тестових комп`ютерах, і справно повідомляли про інших приховані небезпеки. Gmer, крім того, розпізнала всіх «замаскованих шкідників», які ховалися в альтернативних потоках даних (саме це і принесло їй перемогу в загальному заліку). І Gmer, і AVG Anti-Rootkitвидаляють більшу частину знайдених «шкідників», але все-таки не всіх ... Домогтися максимального ефекту дозволяє одночасне використання цих двох програм. Всі інші антіруткіта отримали оцінку «погано».
- Після установки windows 10 не працює інтернет
- В росії запускають програму-вбивцю піратських торрентів
- «Видаляються» вірус для windows зміцнює свої позиції
- Що таке захисник windows?
- Антивірус eset nod32 знову отримав визнання лабораторії av-comparatives
- Ботнет. Як створюються ботнети. Засоби захисту від ботнетів
- Що таке bios
- Як позбутися від вірусів на сайті?
- 5G мережі. Що з себе представляють?
- Що таке трафік?
- Як видалити віруси з комп`ютера?
- Ознаки зараження комп`ютера сучасними вірусами-вимагачами
- Віруси і linux
- Перевірка linux на віруси
- Комп`ютерний вірус ебола
- Комп`ютерні віруси
- Троянці-шифрувальники шифрують файли на жорсткому диску комп`ютера
- Комп`ютерна безпека
- 11 Міфів про комп`ютерну безпеку
- Підроблена утиліта stuxnet очистить комп`ютер цілком
- Adb для управління андроидом з пк