Що таке руткіти. Програми для видалення руткітів

Вступ

Ще недавно зловмисники писали лише віруси, які захисні програми виловлювали і знешкоджували без особливих проблем. Досить було встановити і правильно налаштувати антивірусну систему, регулярно оновлювати її базу ... І жити спокійно.

Сьогодні інтернет-зловмисники діють значно масштабніше! Їх вже не приваблює «всього лише» зараження сотень тисяч комп`ютерів і навіть пандемія нового вірусу. Вони прагнуть отримати контроль над безліччю ПК і використовувати їх для своїх темних справ. З мільйонів заражених систем вони створюють величезні мережі, керовані через Інтернет. Використовуючи гігантську обчислювальну продуктивність «зомбі-мереж», можна, наприклад, виробляти масові розсилки спаму і організовувати хакерські атаки небаченої раніше потужності. В якості допоміжного інструменту для таких цілей дуже часто використовують новий, особливо небезпечний тип шкідливих програм - руткіти

Що таке руткіти?

Руткіти не тільки ховаються самі, але і приховують інше шкідливе ПЗ, проникло в систему. Мета маскування - непомітно для антивірусів та інших захисних програм захопити чужий комп`ютер. У таких руткітів, як Hacker Defender, в запасі досить витончені трюки. Цей замаскований «шкідник» в обхід брандмауера відкриває таємні лазівки в Інтернет, які дозволяють хакерам управляти зараженим комп`ютером. Через створений руткитами «чорний хід» можна отримувати конфіденційні дані (наприклад, паролі) або впроваджувати в систему інші шкідливі програми. Руткітів поки небагато. Але, на жаль, для них (як і для вірусів) створені «конструктори», використовуючи які, навіть малодосвідчені хулігани можуть створювати «замаскованих шкідників» (див. Врізку на стор. ??) і використовувати їх на свій розсуд. Більшість антивірусних програм розпізнає такий шкідливий «софт», поки він не активний (скажімо, «дрімає» у вигляді документа, прикріпленого до електронного листа). Але варто подвійним клацанням відкрити здається нешкідливим файл, і руткит активується і «забереться» в потаємні глибини системи. Після цього знайти і знешкодити його зможуть лише спеціальні додатки. ComputerBild протестував 8 програм, завданням яких є розпізнавання і видалення руткітів. Всі учасники тестування присутні на DVD, що додається до цього номеру журналу.

Відео: Видаляємо руткітів - 2. Програма для видалення руткітів

хитрощі руткітів

Руткіт пробирається в комп`ютер, щоб використовувати його в кримінальних цілях. Він може бути прикріплений до електронного листа, наприклад у вигляді рахунку в форматі PDF. Якщо ви клацнете по уявному рахунку, шкідник-невидимка активується.

Потім руткит забирається глибоко в операційну систему Windows і змінює один з файлів бібліотек - * .dll. І послідовність команд, яка управляє правильною роботою програм, потрапляє під контроль шкідника.

«Захоплення влади»Руткітом залишається непоміченим, і він спокійно завантажує з Інтернету інший шкідливий« софт ». Нові шкідники маскуються за допомогою руткита. Тепер комп`ютер може бути використаний для різних шахрайських дій, наприклад для розсилки спаму.

Як маскуються руткіти?

Антивірусні програми зазвичай розпізнають шкідливий «софт» по сигнатурам - характерним ланцюжках коду в тілі вірусу. Це свого роду «особливі прикмети», за якими можна впізнати і знищити «шкідника». Виробники захисних програм регулярно розміщують в Інтернеті поновлення з останніми виявленими сигнатурами. Крім того, антивіруси дізнаються «шкідників» по ​​деяких особливостей їх поведінки - цей спосіб отримав назву «евристичний аналіз». Якщо, наприклад, якась програма збирається видалити всі MP3-файли, збережені на жорсткому диску, швидше за все, це вірус, роботу якого потрібно блокувати, а його - знищити.

Щоб обдурити антивірусні програми, руткіти маніпулюють процесами, за допомогою яких комп`ютерні програми обмінюються даними. З цих потоків вони видаляють відомості про себе та інших шкідників. Антивірус отримує неправдиву інформацію і вважає, що «в Багдаді все спокійно»

Деякі руткіти (так звані «руткіти режиму користувача») перехоплюють потоки даних між програмами (наприклад, між Windows і антивірусом) і маніпулюють ними на свій розсуд.

Інші руткіти (їх називають «руткитами режиму ядра») «сидять» глибше, між окремими компонентами Windows або навіть в системному реєстрі, і звідти посилають антивірусу неправдиві дані

Як поширюються руткіти?

• Іноді руткіти приходять в поштових вкладеннях, маскуючись під документи різних форматів (наприклад, PDF). Насправді, такий «уявний документ» є виконуваним файлом. Той, хто спробує його відкрити, активує руткит.
• Ще один шлях поширення - зазнали хакерської маніпуляції сайти. Нічого не відає користувач просто відкриває веб-сторінку - і руткит потрапляє в його комп`ютер. Це стає можливим через «дірок» в системі безпеки браузерів

«Саморобні» руткіти

Тисячі комп`ютерів, заражених руткитами, утворюють величезні «зомбі-мережі», які використовуються для розсилки спаму в обхід нічого не підозрюють користувачів. До останнього часу вважалося, що такі махінації доступні лише досвідченим програмістам-професіоналам. Однак уже в найближчому майбутньому ситуація може змінитися. В Інтернеті все частіше зустрічаються так звані Toolkits (набори інструментів) для виготовлення прихованих шкідників, наприклад, досить популярний Pinch. За допомогою цього «софта» навіть недосвідчений користувач може створити «шкідника-невидимку» ... Основою для нього послужить Pinch Builder Trojan, який за допомогою програмного інтерфейсу Pinch можна оснастити різноманітними шкідливими функціями. Згідно з інформацією, опублікованою на сайті виробника антивірусів Panda Software, Pinch Builder Trojan може:

Відео: Що таке руткіт і як його видалити?

• красти паролі браузерів, зокрема Mozilla і Opera, і пересилати їх інтернет-мошеннікам- завдяки доступу до спеціальних областях Windows він також вміє вивідувати паролі Internet Explorer і Outlook;
• зчитувати дані, що вводяться з клавіатури (зокрема, паролі), і передавати їх в Інтернет;
• приховувати свої шкідливі функції - програма майстерно захищає «троянські» процеси від виявлення антивірусним «софтом».

Андреас Маркс, експерт антивірусної тестовій лабораторії AV-Test, яка регулярно проводить випробування на замовлення ComputerBild, підтверджує: «Набори для створення троянів вже продаються на спеціальних веб-сайтах за кілька сотень євро. Якщо по Інтернету пошириться широка хвиля таких саморобних «шкідників», руткіти стануть справжнім лихом для користувачів ».

Відео: Що таке руткіти і як їх видалити

Як позбутися від руткітів?

Встановіть програму Gmer, яка перемогла в нашому тесті. Вона впевнено виявляє руткіти і прихованих «шкідників» інших типів, а також здатна видалити більшість з них. Решта руткіти можна «доконати» за допомогою утиліти AVG Anti-Rootkit. Після видалення «шкідників» слід перевірити систему звичайним антивірусом, наприклад з пакету програм Kaspersky Internet Security.

Узагальнення результатів тестування

Наш тест 8 антіруткіта показав, що проти хитрих замаскованих шкідників є надійний засіб. Правда, щоб позбутися від непрошених гостей, вам доведеться відправити на пошуки руткітів відразу кілька «мисливців».

розпізнавання руткітів

В ході тестування з`ясувалося, що далеко не всім «мисливцям за руткитами» під силу вивести на чисту воду замаскованих «шкідників». Виявити всі активні руткіти змогли лише три програми: переможець тесту Gmer 1.0, AVG Anti-Rootkit і Rootkit Unhooker. Той, хто користується цими додатками, може бути впевнений, що його комп`ютер не піддасться нашестю «шкідників-невидимок». Крім того, Gmer виявилася єдиною програмою, якій вдалося знайти все руткіти в альтернативних потоках даних.

видалення руткітів

Нітрохи не краще було з видаленням шкідливого «софта». Gmer хоча і знайшла все руткіти, змогла знищити тільки 63% з них, а також 87% інших небезпечних програм, маскувати «за компанію». Шкідників, які ховалися в альтернативних потоках даних, пощастило ще менше: на жорстких дисках тестових комп`ютерів не залишилося жодного з них. Це і принесло програмі перемогу. Зате у другого призера частка віддалених активних руткітів була вище майже на чверть (86,67%). У тому малоймовірному випадку, коли переможець тесту Gmer не зможе видалити з жорсткого диска всіх шкідників, AVG Anti-Rootkit доведе роботу до кінця.

Занадто складне управління

Те, що виявлення прихованого шкідливого «софта» - справа серйозної, помітно по складності управління програмами. Інтерфейс всіх додатків, які брали участь в тесті, англомовний, а незрозумілі повідомлення здатні збити з пантелику навіть досвідченого користувача ...

підсумок

На щастя, переможець тесту - Gmer 1.0 - і другий призер, AVG Anti-Rootkit, виявили всі 30 руткітів, «сховалися» на тестових комп`ютерах, і справно повідомляли про інших приховані небезпеки. Gmer, крім того, розпізнала всіх «замаскованих шкідників», які ховалися в альтернативних потоках даних (саме це і принесло їй перемогу в загальному заліку). І Gmer, і AVG Anti-Rootkitвидаляють більшу частину знайдених «шкідників», але все-таки не всіх ... Домогтися максимального ефекту дозволяє одночасне використання цих двох програм. Всі інші антіруткіта отримали оцінку «погано».

джерело: computerbild.ru