Руткиты: что это такое, как их найти, определить и удалить

✅Злоумышленники в нынешнем мире не ограничиваются простым обманом и уже не пользуются устаревшими вредоносными вирусами для атаки на компьютер, чтобы

Что делают руткиты?

Руткит — это набор вредоносных программ, скрытых в вашем компьютере и предназначенных для проникновения в места, обычно недоступных неавторизованному пользователю, и получения контроля над системой. Хакеры могут использовать уязвимости в программном обеспечении для удаленного управления им.
Руткиты очень трудно обнаружить, так как они используют сложные схемы маскировки, чтобы скрыть свое местонахождение. Он может прятаться на уровне ядра, которое управляет всей системой, или маскироваться под другое ПО и даже приложения. Руткиты также могут загружаться с ОС и перехватывать ее связь.
Помимо ноутбука или настольного компьютера, руткит также может быть нацелен на устройства IOT. Он имеет высокий уровень опасности и трудно удаляется.

На видео: Что такое руткит и как его удалить?

Использование руткитов

Что хакеры могут сделать с руткитами:

• Заразить устройство вредоносным ПО. Хакеры мастерски маскируют такое ПО и могут внедрить его в вашу систему;
• Предоставляет доступ в систему для хакеров. Руткит может служить в качестве шлюза для хакера для взлома ваших учетных записей, данных и т.д. Если он получит контроль над ОС, то с легкостью будет контролировать ваше устройство. Хакер сможет желать это с помощью вредоносного ПО или троянских программ, которые загрузит в зараженное устройство;
• Хакер сможет взять под контроль антивирусные программы и распространять вредоносное ПО.

Но руткиты также могут быть использованы и для хороших целей, таких как обнаружение хакерских атак, защиты программного обеспечения безопасности или защиты ноутбуков от кражи, позволяя осуществлять их мониторинг в случае кражи.

Источник: http://bezopasnik.info/что-такое-руткиты-и-чем-они-опасны/

Классификация руткитов

• По уровню привилегий
  • Уровня пользователя (user-mode)
  • Уровня ядра (kernel-mode)
• По принципу действия
  • изменяющие алгоритмы выполнения системных функций (Modify execution path)
  • изменяющие системные структуры данных (Direct kernel object manipulation)

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1131015

Знай противника в лицо

Руткит — это набор вредоносных программ, которые в тайне могут полностью контролировать ваш компьютер, а вы даже не будете этого знать.

Первое подобное ПО появилось более 20 лет назад на базе семейства операционных систем UNIX. Оттуда и пошло название: «root» в дословном переводе с английского означает «корень», но в этом контексте подразумевает суперпользователя с неограниченным доступом, а «kit» — это комплект. Получается, что rootkit — набор для получения прав суперпользователя.

Его основные функции:

• Маскировка файлов, программ и вредительских действий в системе;
• Управление процессами, происходящими на компе, в основном, втайне от его хозяина;
• Сбор информации.

Как вы сами понимаете, это не обычный вирус. Он может нанести гораздо больше вреда, при том, что может долгое время оставаться незаметным.

Источник: http://profi-user.ru/chto-takoe-rutkity-v-kompyutere/

Что это за функция?

«Поиск руткитов» — одна из многочисленных опций в сканере антивирусной программы Kaspersky. Данная функция отличается повышенной длительностью проверки, а также иногда потребляет слишком много ресурсов и возможностей ПК.

Она включена в план работы изначально, что предусматривается протоколом полной проверки устройства на наличие вредоносного ПО. Перед тем, как переходить к отключению подобной манипуляции, стоит поближе познакомиться с её действием.

Поиск руткитов в Kaspersky

Источник: http://brit03.ru/os/poisk-rutkitov.html

Источники заражения руткитами

Как и другие вирусы, черви, трояны и вредоносные программы, на компьютер руткиты попадают с зараженных флешек, непроверенных ссылок в интернете, с электронными письмами от незнакомцев и т.д. Но источник содержит только часть кода внедрения руткита. После попадания в систему, он уже скачивает недостающую часть из интернета. Когда код руткита соберется в полном составе, он заработает и будет делать то, для чего создан.

Способы внедрения руткитов в операционные системы:

• через непроверенные устройства, например, USB-флешки или внешние жесткие диски
• при посещении опасных сайтов
• при маскировке под надежные программы
• по почте рассылаются файлы с начальным кодом руткита и пр.

Для заражения ПК руткитами достаточно минимального файла. Код с него спрячется внутри ОС и загрузит руткит полностью. Затем начнет находить слабые места системы и совершать вредоносные действия.  

Источник: http://safeness.xyz/computer-security/руткит-скрытая-угроза-как-найти-и-удал.html

Легальные руткиты

Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски. Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя[источник не указан 1018 дней].

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1131015

Как распространяются руткиты?

• Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
• Еще один путь распространения – подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу – и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров

Источник: http://windxp.com.ru/rotdel.htm

Как предотвратить появление руткитов?

Лучшее лекарство от всех типов вредоносных программ — это профилактика. Вы должны делать следующее, чтобы свести к минимуму возможность заражения руткитами:

• Выполняйте сканирование на руткиты не реже одного раза в месяц. Это можно выполнить с помощью надежных инструментов сторонних производителей;
• Избегайте загрузки ПО с ненадежных веб-сайтов. Пользуйтесь официальными сайтами разработчиков или доверенными официальными магазинами;
• Не загружайте вложения, которым не доверяете, и не открывайте подозрительные ссылки;
• Не используйте USB-устройства, которым не доверяете;
• Не отвечайте на фишинговые письма и не передавайте никакую информацию мошенникам (или кому-либо, кому не доверяете);
• Обновляйте ОС и ПО для обеспечения безопасности, чтобы они могли реагировать на самые последние угрозы.

Источник: http://bezopasnik.info/что-такое-руткиты-и-чем-они-опасны/

Антируткиты

Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:

Поиск расхождений

Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1131015

Как бороться с руткитами

Руткиты сложны в обнаружении и устранении. Но, есть антивирусные программы, которые способны сдерживать их атаки. Компании, разрабатывающие защитные ПО, постоянно анализирую новые руткиты и обновляют свои продукты. 

Средства обнаружения и удаления руткитов

Самостоятельно обнаружить и удалить руткиты практически невозможны. IT-компаниями разработаны специальные программы и приложения.

ТОП-10 утилит для обнаружения и удаления руткитов:

1. Kaspersky TDSSKiller
2. RkUnhooker
3. Panda Anti-Rootkit
4. RogueKiller Anti-malware
5. Dr.Web Cureit
6. SUPERAntiSpyware 10.0.1214 Free
7. GMER и RootRepeal
8. Eset SysInspector
9. Malwarebytes Anti-Rootkit
10. Avast Anti-Rootkit

На сайтах специализированных компаний есть возможность скачать и установить эти утилиты по поиску и устранению вредоносных руткитов.

Как избежать заражения руткитами

Болезнь лучше предупредить, чем лечить. Соблюдение определенных правил снизит риск заражения системы компьютера руткитами. 

Основные методы профилактики:

• Своевременно обновлять ОС и ПО компьютера
• Избегать подозрительные сайты
• Игнорировать электронные спам
• Не подключать к компьютеру непроверенные устройства
• не скачивать и не устанавливать программы, файлы и прочие объекты из неизвестных источников
• Не открывать подозрительные ссылки
• Установить на ПК комплексную антивирусную программу и регулярно сканировать свой компьютер на наличие руткитов

Важно: Разработчики некоторых программ умышленно внедряют руткиты в свои продукты. Это прописывается в лицензионном соглашении. Но читают этот документ не многие.

Источник: http://safeness.xyz/computer-security/руткит-скрытая-угроза-как-найти-и-удал.html

Ссылки

• Windows под прицелом — SecurityLab — обзорная статья о руткитах (21.12.2004)
• Сайт Hell Knights Crew, исследователей, занимающихся в том числе VX/RAT и руткит технологиями
• Зайцев, Олег RootKit — принципы и механизмы работы  (рус.). Архивировано из первоисточника 7 ноября 2012. Проверено 5 ноября 2012.

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1131015