###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Что такое руткиты на ноутбуке. Что такое руткит и как его удалить

    13.05.2019 Мобильный интернет

    Руткит — это набор программных средств, которые при установке на компьютер, обеспечивают удаленный доступ к ресурсам, информации и файлам системы без ведома владельца. Правоохранительные органы и родительские программы “няня” используют различные типы руткитов для тайного мониторинга активности на компьютерах для целей наблюдения, но злоумышленники могут также установить пакет программ rootkit на компьютеры ничего не подозревающих жертв.
    Слово “руткит” пришло из операционной системы Unix (ОС), которая была распространена до Microsoft™ и Windows™. Linux и распространение программного обеспечения Беркли (БСД) являются производными от ОС Unix. “Корневой” уровень системы Unix сродни правам администратора ОС Windows. Пульт дистанционного управления — это пакет программного обеспечения был передан как “Кит”, давая нам название “руткит”.

    Руткиты создавали шумиху с начала 1990-х годов. Тип руткитов, которые атакуют компьютеры Windows™ добавляют себя в ядро операционной системы. Отсюда rootkit может изменить саму операционную систему и перехватывать звонки в системе (системные запросы для получения информации), предоставляя ложные ответы, чтобы замаскировать присутствие руткита. Поскольку руткит скрывает свои процессы от операционной системы и в системном журнале, его трудно обнаружить.

    Злоумышленник может установить руткит на компьютер с помощью различных средств. Руткиты могут быть доставлены как трояны или даже спрятаны в, казалось бы, доброкачественном файле. Это может быть графический файл или программа, которая распространяется посредством электронной почты. У жертвы нет способа узнать, что будет установлено, нажав на рисунок или программу. Руткиты могут также быть установлены с помощью серфинга в Интернете. В всплывающем окне можно указать, например, что программа необходима для просмотра сайта, маскируя руткит как законный плагин.

    Как только руткит устанавливается, хакер может тайно общаться с целевым компьютером, когда он онлайн. Руткит обычно используется для установки как скрытая программа и создаёт “черные ходы” в системе. Если хакер хочет получить информацию, то он может установить программу кейлоггер. Эта программа будет тайно записывать все типы действий онлайн, предоставляя результаты в интерлопер при следующей возможности. Кейлоггер программы могут раскрыть имена пользователей, пароли, номер кредитной карты, номера банковских счетов и другие конфиденциальные данные, для потенциального мошенничества или кражи личных данных.

    Другие вредоносные программы которые используют для руткитов включают ущерб несколько сотен или даже сотен тысяч компьютеров для формирования отдаленной ‘руткит сети’ которая называется ботнет. Ботнеты используются для рассылки распределенных отказов в обслуживании (DDoS) атаки, спама, вирусов и троянов на другие компьютеры. Эта деятельность, если проследить отправителя, может привести к правовой конфискации компьютеров от невинных владельцев, которые понятия не имели, что их компьютеры были использованы для незаконных целей.

    Чтобы защитить свой компьютер от руткитов, эксперты советуют, что безопасность можно поддерживать с помощью анти-вирусных и анти-шпионских программ. Установка исправлений (патчей операционной системы безопасности), как только они становятся доступными, и удалят спам, не открывая его. При серфинге в Интернет разрешать только надежным сайтам для установки программного обеспечения, и не нажимать на подозрительные баннеры или всплывающие окна. Даже кнопка “спасибо” может быть уловкой, чтобы скачать руткит.

    Также будет мудрым, чтобы использовать одну или более анти-руткит-программ для сканирования на наличие руткитов хотя бы раз в неделю. Хотя некоторые руткиты могут, предположительно, быть безопасно удалены, общая рекомендация — отформатировать диск и восстановить систему, чтобы убедиться, что все rootkit удалены и все процессы ОС функционируют нормально. Если дело дойдет до этого, чистое резервное копирование позволит сделать такую работу намного легче.

    После сканирования следует выделить обнаруженные объекты (предварительно внимательно их изучив!) и нажать кнопочку «Clean up checked items» для их удаления.

    В описании найденных объектов программа предложит вам свои рекомендации на счет их удаления. Для этого следует выделить найденный объект. Так, запись в строке Removable «Yes (but clean up is not recommended for this file)» означает, что Sophos Anti-Rootkit без труда сможет удалить этот объект, но его удаление не рекомендуется, т.к. это дружественная программа или модуль, который не приносит никакого вреда системе. Такие объекты можно смело пропускать. Если же вы все-таки решите их удалить, Sophos Anti-Rootkit предупредит о возможных проблемах с операционной системой. Стоит еще раз подумать и … нажать кнопку «Отмена».

    Кроме того, Sophos Anti-Rootkit в описании каждого объекта покажет полный путь к нему и дополнительную информацию. Но утилита может этого и не сделать. Самое разумное в этом случае - открыть папку с файлом или ветвь реестра и внимательно изучить найденный Sophos Anti-Rootkit объект со всех сторон: посмотреть его свойства, поискать информацию о нем в интернете и т.п.

    Следующая программа на рассмотрении это:

    Также бесплатная утилита для извлечения руткитов из системы, работающая без предварительно установки в Windows XP. Скачать Rootkit Buster можно с официального сайта разработчика - компании Trend Micro: http://www.trendmicro.com/download/rbuster.asp.

    Для того чтобы начать сканирование просто распакуйте архив и запустите файл Rootkit Buster.exe, затем в окне утилиты нажмите кнопку «Scan Now». При этом Rootkit Buster проверит загрузочную запись MBR и скрытые файлы, реестр, процессы и драйвера.

    Если вы достаточно хорошо знаете свой компьютер, то можете отметить последний пункт «File Streams» («Файловые потоки»), но предупреждаю сразу, что в этом случае программа обязательно что-то да найдет и в основном это безобидные объекты. Тем не менее, среди них могут попасться и вредоносные, поэтому важно отличать «овец от волков». По завершении сканирования вы увидите список найденных объектов. Любой из них можно выделить и удалить нажатием кнопки «Delete Selected Items». В моем случае программа ничего не нашла, что очень порадовало.

    Утилита отечественных разработчиков, которая кроме обнаружения руткитов имеет огромное число разных, очень полезных функций, помогающих в борьбе с вирусами. Загрузить AVZ можно с официального сайта: http://www.z-oleg.com/secur/avz/. Утилита не требует установки, регулярно обновляется и будет прекрасным дополнением к установленному в системе антивирусу.

    Для того чтобы начать сканирование компьютера на предмет руткитов и другой заразы выберите нужный диск или папку (папки) в Области поиска.

    При сканировании программа автоматически будет детектировать руткиты. Если же вы хотите, чтобы вместе с руткитами под нож пошли троянские, рекламные и прочие вредоносные программы, в разделе «Методика лечения» отметьте галочкой пункт «Выполнять лечение» и выберите действие для каждого типа вредоносной программы. Рекомендую выбрать «Спросить у пользователя».


    Итак, приготовления завершены. Смело нажимайте кнопку «Пуск» и подождите некоторое время, пока AVZ проверит систему.


    Если программа нашла какие-либо перехватываемые функции и выдала вам имя файла-перехватчика, внимательно к нему присмотритесь. Это может быть ваш межсетевой экран, антивирус и другие мирные программы, а может быть и руткит. Поэтому в случае подозрения на руткит лучше обратиться в конференцию к разработчикам: http://virusinfo.info.

    Мы рассмотрели специализированные утилиты, которые помогают выявлять и бороться с вирусами типа «руткит». В заключении стоит предупредить, о том, что даже используя описанные программы нет 100% гарантий полной защиты, как впрочем, и использование любых других антивирусных программ. Следует признать, что обезопасить компьютер от вирусов возможно, соблюдая так сказать гигиену в операционной системе, и программах используемых на компьютере, стоит почаще делать к резервные копии данных, если они для вас особо важны.

    При постоянной работе в интернет обязательно иметь установленную антивирусную программу с ежедневно обновляемыми антивирусными базами. И не переходить на незнакомые ссылки в интернете, чтобы избежать случайного заражение трояном, руткитом, или поймать столь популярный в наше время «порно баннер» требующий отправить смс и оплатить через терминал N-ную сумму…

    Руткит – это программа, незаметно для пользователя проникающая в систему. Он способен перехватывать контроль управления компьютером, изменять его базовые конфигурации, а также осуществлять за деятельностью пользователя или попросту шпионить за ним. Однако руткит не всегда является вредоносной программой. Существует программное обеспечение, которое используется, например, в офисах для контроля деятельности персонала. Такие программы незаметно следят за пользователем, однако вредоносными по сути своей не являются. Если же руткит появляется на личном компьютере без ведома владельца, в большинстве случаев – это можно считать атакой.

    В отличие от вирусов и троянов, обнаружение руткитов – не такая простая задача. Ни один антивирус в мире не способен обеспечить защиту от всех существующих руткитов. Тем не менее, использование лицензионных антивирусов с последними обновлениями антивирусных баз помогает избавиться от некоторых известных руткитов. Наличие руткитов на компьютере можно также определить по косвенным признакам, например, изменившемуся поведению некоторых программ или всей системы в целом. Полное еще более сложная задача, т.к. часто они представляют собой комплексы из нескольких файлов. Отследить каждый из них и уверенно утверждать, что тот или иной файл является частью руткита сложно. Самый простой способ избавиться от такого вредоносного кода – восстановить систему в более раннее состояние, до того как руткит появился на компьютере.

    Видео по теме

    Руткит – это такой вирус, который проникает в систему и начинает вредить. Он умеет скрывать как свои следы деятельности, так и вирусов-напарников. Делает он это с помощью захвата низкоуровневых функций API и внедрения в реестр. А еще они могут отдать контроль над ПК какому-нибудь злобному хакеру. Обнаружить их непросто, зато легко удалить.

    Инструкция

    Причины подозревать присутствие прокравшихся в систему руткитов: не запускаются сканеры-антивирусы (Virus Removal Касперского), резидентные антивирусы , друзья жалуются на потоки спама, идущие с вашего ПК, а некоторые странички почему-то упорно вас перенаправляют куда-то. В таком случае компьютер пора лечить.

    Легче всего воспользоваться утилитами. Они бесплатны и просты. Касперский предлагает TDSSKiller – специальную программу против руткитов. Скачать ее можно с сайта Kaspersky в виде.exe-файла. Его нужно запустить и начать проверку. Все подозрительные файлы сохраняйте в карантин, а потом нужно будет зайти на сайт VirusTotal.com и отправить их из папки \TDSSKiller_Quarantine в системном разделе на анализ.

    Еще одна вещь от Касперского, а вернее, от сотрудника лаборатории Зайцева Олега – AVZ. Перед ее запуском создается точка бэкапа, потому как утилита вычищает все. Перед стартом галочку поставьте напротив «Детектировать RooTkit и перехватчики API» и запускайте.

    Происхождение термина "руткит " корнями уходит в операционные системы семейства UNIX. В английском варианте "rootkit " состоит из двух слов: root - суперпользователь (аналог администратора в Windows) и kit - набор программных средств, позволяющий злоумышленнику получить "привилегированный" доступ в систему - естественно, без согласия настоящего администратора. Первые руткиты, появились в начале 90-х годов и долгое время были особенностью исключительно UNIX-систем, но хорошие идеи, как известно не пропадают, и конец XX века ознаменовался уже тем, что массово начали появляться вирусные программы подобного рода, функционирующие под Windows.

    Кто и зачем использует руткиты

    Основная функция, которую выполняет руткиты - это обеспечение удаленного доступа в систему. Иными словами, они дают своим создателям практически безграничную власть над компьютерами ничего не подозревающих пользователей. Внедряясь в систему, такие вредоносные программы могут легко перехватывать и модифицировать низкоуровневые API функции, что позволяет им качественно скрывать от пользователя и антивирусного ПО свое присутствие на компьютере.

    Нельзя сказать, что руткит исключительно вредоносная программа. По сути, ими является подавляющее большинство программных средств защиты от копирования (а так же средств обхода этих защит). Взять к примеру печально известный случай, когда японская корпорация Sony встраивала утилиты подобного рода в свои лицензионные аудио-диски.

    Как распространяются руткиты

    Самый популярный способ распространения: через программы обмена мгновенными сообщениями. Попав на компьютер, руткит рассылает сообщения, содержащие вредоносные вложения, всем, чьи адреса есть в списке контактов. Существует и более современный подход, который заключается во вставке вредоносного кода в файлы PDF. Для активизации достаточно просто открыть файл.

    Какими бывают руткиты

    Существует несколько типов руткитов, отличающихся между собой по степени воздействия на систему и сложности обнаружения. Самый простой из них - руткит, функционирующий на пользовательском уровне (user-mode ). Он запускается на компьютере, используя права администратора, что позволяет ему успешно скрывать свое присутствие, выдавая собственные действия за работу системных служб и приложений. Хотя избавиться от него достаточно сложно - вредоносная программа создает копии необходимых файлов на разделах жесткого диска и автоматически запускается при каждом старте системы - это единственный вид, поддающийся обнаружению антивирусными и антишпионскими программами.

    Второй тип - руткиты, функционирующие на уровне ядра (kernel-mode ). Понимая, что вредоносная программа, работающая на уровне пользователя может быть обнаружена, разработчики создали руткит, способный перехватывать функции на уровне ядра операционной системы. Один из признаков его присутствия на компьютере - нестабильность операционной системы.

    Гибридный руткит. Этот тип вредоносного ПО сочетает в себе простоту в использовании и стабильность руткитов пользовательского режима и скрытность руткитов уровня ядра. Микс получился весьма успешным и в настоящий момент широко используется.

    Модифицирующий прошивку руткит. Его особенность состоит в том, что он способен прописываться в прошивку. Даже если антивирусная программа обнаружит и удалит руткит, то после перезагрузки, он получит возможность снова вернуться в систему.

    Каковы симптомы заражения руткитом

    Как уже говорилось, обнаружить присутствие их в системе чрезвычайно сложно, но есть некоторые признаки, позволяющие предположить заражение:

    • Компьютер не реагирует на действия мыши и клавиатуры.
    • Настройки операционной системы меняются без участия пользователя - это один из способов руткита скрыть свои действия.
    • Нестабильно работает доступ в сеть из-за значительно возросшего интернет-трафика.

    Стоит отметить, что правильно работающий руктит вполне способен не допустить появления всех этих симптомов, за исключением разве что последнего. Да и то только в случае, если компьютер выступает в роли ретранслятора спама или участвует в DDoS-атаках (объем трафика порой увеличивается так, что скрыть это не представляется возможным).

    Сегодня Вы узнаете, что такое руткит и как удалить руткит со своего компьютера, обезопасив свой компьютер от этих вредоносных программ.

    Что такое Руткит?

    Руткит (RootKit) - это программа, сценарий либо некоторый набор программных инструментов, который предоставляет злоумышленнику (владельцу руткита) полный доступ к компьютеру другого пользователя или же, в худшем случае, сети в целом. Под "полным доступом" здесь непосредственно имеется в виду доступ уровня главного администратора (Head Administrator, SuperWiser) . Стоит понимать, что Руткит - это не просто опасная утилита, она действует таким образом, чтобы внедрить на ваш ПК вредные "дополнения" или приложения: трояны, шпионское ПО и прочие вирусы.

    Почему руткиты так опасны?

    Основная форма атаки руткитов - скрытность. Они будут скрываться глубоко в недрах вашего компьютера. Поскольку они имеют доступ уровня администратора, они осуществлять, например, блокировать ваш Windows-поиск и скрыть любую информацию о RootKit"ах, контролировать AntiVirus и в прямом смысле "приказать" ему игнорировать Rootkit, скрывать из списка активных процессов и многое другое!

    Самый известный Руткит был установлен на некоторые устройства Sony. Sony спрятал RootKit на компьютерах людей как часть своей стратегии цифрового управления правами. Это предоставило им эффективный контроль над компьютерами пользователей. Эксперт по вопросам безопасности Sysinternals обнаружил данный RootKit и это вызвало огромный резонанс в мировом сообществе. Sony предлагало загрузить пользователям RootKit
    как дополнительное ПО, а также выставляло его в качестве необходимого процесса.
    Это подтверждает факт, что RootKit очень трудно обнаружить, и это делает их опасными.

    Как удалить Руткит

    Ответить на этот вопрос очень трудно. Не ожидайте, что ваш антивирус или фаервол со 100% вероятностью поможет Вам здесь. Самые лучшие RootKit могут легко победить Ваше антивирусное программное обеспечение, так что для того, чтобы удалить руткит Вам нужны специальные инструменты.

    Для этого существуют специальные программы и сервисы. Одним из отечественных разработчиков можно смело считать Лабораторию Касперского и специально написанный "киллер" руткитов, который можно скачать по этой ссылке . Да и в целом их продукты довольно качественны, так можете , а затем , что на самом деле довольно просто.

    Похожие новости:

    Безопасность Безопасность