Главная-Интернет-Что такое руткиты. Что такое руткит и как с ним бороться

Что такое руткиты. Что такое руткит и как с ним бороться

Происхождение термина "руткит " корнями уходит в операционные системы семейства UNIX. В английском варианте "rootkit " состоит из двух слов: root - суперпользователь (аналог администратора в Windows) и kit - набор программных средств, позволяющий злоумышленнику получить "привилегированный" доступ в систему - естественно, без согласия настоящего администратора. Первые руткиты, появились в начале 90-х годов и долгое время были особенностью исключительно UNIX-систем, но хорошие идеи, как известно не пропадают, и конец XX века ознаменовался уже тем, что массово начали появляться вирусные программы подобного рода, функционирующие под Windows.

Кто и зачем использует руткиты

Основная функция, которую выполняет руткиты - это обеспечение удаленного доступа в систему. Иными словами, они дают своим создателям практически безграничную власть над компьютерами ничего не подозревающих пользователей. Внедряясь в систему, такие вредоносные программы могут легко перехватывать и модифицировать низкоуровневые API функции, что позволяет им качественно скрывать от пользователя и антивирусного ПО свое присутствие на компьютере.

Нельзя сказать, что руткит исключительно вредоносная программа. По сути, ими является подавляющее большинство программных средств защиты от копирования (а так же средств обхода этих защит). Взять к примеру печально известный случай, когда японская корпорация Sony встраивала утилиты подобного рода в свои лицензионные аудио-диски.

Как распространяются руткиты

Самый популярный способ распространения: через программы обмена мгновенными сообщениями. Попав на компьютер, руткит рассылает сообщения, содержащие вредоносные вложения, всем, чьи адреса есть в списке контактов. Существует и более современный подход, который заключается во вставке вредоносного кода в файлы PDF. Для активизации достаточно просто открыть файл.

Какими бывают руткиты

Существует несколько типов руткитов, отличающихся между собой по степени воздействия на систему и сложности обнаружения. Самый простой из них - руткит, функционирующий на пользовательском уровне (user-mode ). Он запускается на компьютере, используя права администратора, что позволяет ему успешно скрывать свое присутствие, выдавая собственные действия за работу системных служб и приложений. Хотя избавиться от него достаточно сложно - вредоносная программа создает копии необходимых файлов на разделах жесткого диска и автоматически запускается при каждом старте системы - это единственный вид, поддающийся обнаружению антивирусными и антишпионскими программами.

Второй тип - руткиты, функционирующие на уровне ядра (kernel-mode ). Понимая, что вредоносная программа, работающая на уровне пользователя может быть обнаружена, разработчики создали руткит, способный перехватывать функции на уровне ядра операционной системы. Один из признаков его присутствия на компьютере - нестабильность операционной системы.

Гибридный руткит. Этот тип вредоносного ПО сочетает в себе простоту в использовании и стабильность руткитов пользовательского режима и скрытность руткитов уровня ядра. Микс получился весьма успешным и в настоящий момент широко используется.

Модифицирующий прошивку руткит. Его особенность состоит в том, что он способен прописываться в прошивку. Даже если антивирусная программа обнаружит и удалит руткит, то после перезагрузки, он получит возможность снова вернуться в систему.

Каковы симптомы заражения руткитом

Как уже говорилось, обнаружить присутствие их в системе чрезвычайно сложно, но есть некоторые признаки, позволяющие предположить заражение:

  • Компьютер не реагирует на действия мыши и клавиатуры.
  • Настройки операционной системы меняются без участия пользователя - это один из способов руткита скрыть свои действия.
  • Нестабильно работает доступ в сеть из-за значительно возросшего интернет-трафика.

Стоит отметить, что правильно работающий руктит вполне способен не допустить появления всех этих симптомов, за исключением разве что последнего. Да и то только в случае, если компьютер выступает в роли ретранслятора спама или участвует в DDoS-атаках (объем трафика порой увеличивается так, что скрыть это не представляется возможным).

Руткит — это набор программных средств, которые при установке на компьютер, обеспечивают удаленный доступ к ресурсам, информации и файлам системы без ведома владельца. Правоохранительные органы и родительские программы “няня” используют различные типы руткитов для тайного мониторинга активности на компьютерах для целей наблюдения, но злоумышленники могут также установить пакет программ rootkit на компьютеры ничего не подозревающих жертв.
Слово “руткит” пришло из операционной системы Unix (ОС), которая была распространена до Microsoft™ и Windows™. Linux и распространение программного обеспечения Беркли (БСД) являются производными от ОС Unix. “Корневой” уровень системы Unix сродни правам администратора ОС Windows. Пульт дистанционного управления — это пакет программного обеспечения был передан как “Кит”, давая нам название “руткит”.

Руткиты создавали шумиху с начала 1990-х годов. Тип руткитов, которые атакуют компьютеры Windows™ добавляют себя в ядро операционной системы. Отсюда rootkit может изменить саму операционную систему и перехватывать звонки в системе (системные запросы для получения информации), предоставляя ложные ответы, чтобы замаскировать присутствие руткита. Поскольку руткит скрывает свои процессы от операционной системы и в системном журнале, его трудно обнаружить.

Злоумышленник может установить руткит на компьютер с помощью различных средств. Руткиты могут быть доставлены как трояны или даже спрятаны в, казалось бы, доброкачественном файле. Это может быть графический файл или программа, которая распространяется посредством электронной почты. У жертвы нет способа узнать, что будет установлено, нажав на рисунок или программу. Руткиты могут также быть установлены с помощью серфинга в Интернете. В всплывающем окне можно указать, например, что программа необходима для просмотра сайта, маскируя руткит как законный плагин.

Как только руткит устанавливается, хакер может тайно общаться с целевым компьютером, когда он онлайн. Руткит обычно используется для установки как скрытая программа и создаёт “черные ходы” в системе. Если хакер хочет получить информацию, то он может установить программу кейлоггер. Эта программа будет тайно записывать все типы действий онлайн, предоставляя результаты в интерлопер при следующей возможности. Кейлоггер программы могут раскрыть имена пользователей, пароли, номер кредитной карты, номера банковских счетов и другие конфиденциальные данные, для потенциального мошенничества или кражи личных данных.

Другие вредоносные программы которые используют для руткитов включают ущерб несколько сотен или даже сотен тысяч компьютеров для формирования отдаленной ‘руткит сети’ которая называется ботнет. Ботнеты используются для рассылки распределенных отказов в обслуживании (DDoS) атаки, спама, вирусов и троянов на другие компьютеры. Эта деятельность, если проследить отправителя, может привести к правовой конфискации компьютеров от невинных владельцев, которые понятия не имели, что их компьютеры были использованы для незаконных целей.

Чтобы защитить свой компьютер от руткитов, эксперты советуют, что безопасность можно поддерживать с помощью анти-вирусных и анти-шпионских программ. Установка исправлений (патчей операционной системы безопасности), как только они становятся доступными, и удалят спам, не открывая его. При серфинге в Интернет разрешать только надежным сайтам для установки программного обеспечения, и не нажимать на подозрительные баннеры или всплывающие окна. Даже кнопка “спасибо” может быть уловкой, чтобы скачать руткит.

Также будет мудрым, чтобы использовать одну или более анти-руткит-программ для сканирования на наличие руткитов хотя бы раз в неделю. Хотя некоторые руткиты могут, предположительно, быть безопасно удалены, общая рекомендация — отформатировать диск и восстановить систему, чтобы убедиться, что все rootkit удалены и все процессы ОС функционируют нормально. Если дело дойдет до этого, чистое резервное копирование позволит сделать такую работу намного легче.

Руткиты – вид вредоносных программных средств, которые внедряются в операционную систему (ОС) компьютера и открывают к нему неограниченный доступ злоумышленнику через удаленное соединение.

Изначально (более 20 лет назад) руткиты предназначались для того, чтобы скрывать удаленные манипуляции злоумышленника или следы пребывания вирусов, троянов на компьютере жертвы. Сегодня – руткитами называют любые наборы утилит, которые:

  • скрывают свою деятельность или деятельность других процессов;
  • манипулируют процессами ОС;
  • открывают доступ к средствам ОС через сеть;
  • собирают пользовательские данные и отправляют их через сеть.

Виды руткитов

Рассмотрим все виды руткитов.

Виды руткитов

Руткиты уровня пользователя – самые распространенные. Они запускаются с правами текущего пользователя, реже администраторскими. Обычно они проникают на компьютер с целью сделать из него зомби-машину для или чтобы украсть конфиденциальные данные пользователя и переслать их злоумышленнику.

Руткиты уровня ядра – редки. Они запускаются с наивысшими правами, загружаются порой раньше операционной системы. Могут находится на компьютере годами, так как их очень сложно обнаружить, и они имеют наивысшие права в системе (root доступ).

Руткиты изменяющие пути исполнения внедряются в ОС, модифицируя обработчики событий операционной системы и системные файлы.

Руткиты, внедряющиеся в ядро, модифицируют само ядро операционной системы, их компоненты взаимодействуют друг с другом, образуя систему внутри системы. Удалить их можно только переустановив ОС.

Особый вид – это программно-аппаратные руткиты, которые работают на уровне выше чем любая операционная система. Они внедряются в механизм программного обеспечения аппаратной виртуализации.

Программно-аппаратные ракиты

Как попадает на компьютер

Руткиты попадают на компьютер пользователя так же, как и все остальное вредоносное ПО. Источником заражения может быть чужая флешка, письмо с незнакомого E-Mail адреса или случайно нажатая ссылка при серфинге в интернет.

На источнике заражения содержится только минимальный код внедрения. Когда он попадает в компьютер, то закрепится в системе и докачает все остальные компоненты с интернета. Когда он соберется в полном составе, он начнет делать то, для чего разработан – собирать данные и отправлять через интернет, устанавливать удаленный доступ к машине (backdoor – англ. черный ход).

Как бороться

Руткиты, которые внедряются в ядро чрезвычайно трудно обнаружить. Их не обнаруживает ни одно автоматизированное средство. Хорошая новость в том, что их единицы. Для каждого из них предназначено собственное средство, вроде TDSSKiller от лаборатории Касперского.

Средства для борьбы с руткитами уровня пользователя встроены в каждый современный пакет интернет защиты. Например, в Касперском (Kaspersky Internet Security) поиск руткитов по умолчанию включен и проводится каждый день, отключить его стандартными средствами нельзя.

Руткиты в Касперском

Это сделано для того, чтобы руткит не смог отключить защиту антивируса, чтобы проникнуть в систему. Если KIS встретит подозрительную активность в системе или узнает компонент руткита по сигнатурам, он заблокирует его.

Как известно, существует несколько основных типов вредоносных программ. Многие пользователи не делают различий между ними, объединяя общим названием «вирусы». В итоге необходимый софт для защиты не устанавливается или используется неправильно. Естественно, такой подход может поставить под угрозу безопасность системы.

Понятие и история руткитов

Около 20 лет назад руткиты создавались как своеобразное дополнение к другим типам вредоносных программ - «шпионам» и вирусам . Их главной целью было лишь скрыть такое ПО от пользователя и его защиты.

Первые подобные программы появились в эпоху Unix. Сегодня их деятельность связана в основном с Windows. С течением времени руткиты изменились и сегодня включают полноценный набор функций, присущий вредоносным программам. С их помощью возможно осуществить на устройстве жертвы практически любые действия:

  • похищать информацию: пароли, банковские данные;
  • отслеживать поведение в сети;
  • устанавливать, удалять программы и др.

То есть, по сути, они позволяют управлять компьютером жертвы на расстоянии . Сейчас руткиты представляют собой уже самостоятельный тип вредоносного софта.

Одна из основных особенностей и одновременно угроз, заключается в том, что такие программы-вредители обычно не распознаются стандартными антивирусами или файерволами. Поиск часто ничего не дает. Поэтому однажды проникнув в системные файлы или память, они могут оставаться незамеченными долгие годы, нанося вред устройству и его хозяину.

Подобные приложения специально созданы таким образом, чтобы скрываться при поиске, проводимом программами-защитниками. Мало того, некоторые из них способны отключать антивирусы и другие средства безопасности. В арсенале могут находиться различные инструменты:

  • бот для совершения DDos-атак;
  • «вор» паролей;
  • сканер карточек;
  • клавиатурный «шпион» и др.

Управлять чужим компьютером позволяет функция бэкдор. С ее помощью происходит подключение и установка необходимых модулей. Далее хакер может делать с устройством практически все что угодно.

Виды руткитов

Руткиты условно можно разделить на две основные категории:

  1. Уровня пользователя - обладают на компьютере правами наравне с другими приложениями. Они вмешиваются в другие процессы и используют их память. Наиболее распространенный вид.
  2. Уровня ядра - проникают в систему и получают почти безграничные возможности доступа к любым процессам. Встречаются заметно реже, видимо, потому, что их сложнее создать. Они хуже обнаруживаются и удаляются.

Примеры распространенных приложений:

  • Alureon;
  • TDSS;
  • Necurs.

Кроме основных, существуют более редкие формы - буткиты. Они преобразуют загрузчик и перехватывают управление не дожидаясь запуска операционной системы. В связи с возрастающим значением смартфонов, в последние несколько лет можно встретить руткиты, работающие на Android.

Методы заражения

Способы проникновения ничем не отличаются от других классов: вирусов, червей, троянов:

  • посещение ненадежных сайтов - используются «слабые места» в браузере;
  • через другие устройства, иногда злоумышленники специально оставляют флешки в посещаемых местах;
  • подозрительные файлы, рассылаемые по почте и др.

Обнаружение и борьба

Напрашивается вопрос о том, как удалить руткиты. Сложности в борьбе присутствуют начиная с обнаружения. Поиск обычным средством не даст результата. В арсенале руткитов есть различные методы маскировки: сокрытие файлов, ключей реестра и пр . Как правило, для поиска вредителей необходимы специальные программы. Некоторые из них предназначены для обнаружения и удаления только одного определенного вида руткитов, другие - многих, в том числе - неизвестных. К первым относится, например, TDSSkiller («Касперский»). Поиск обычно производится с помощью:

  • сигнатурного анализа;
  • поведенческого анализа;
  • узконаправленных методов.

Удалять их также непросто. Нередко процесс включает несколько этапов. В результате, как правило, удаление затрагивает множество файлов. Если системные ресурсы повреждены слишком сильно, иногда приходится переустанавливать операционную систему. Для более простых случаев вполне подойдет, например, стандартная процедура лечения в Kaspersky Internet Security . Для отключения регулярного поиска руткитов в продуктах «Лаборатории Касперского» обычно достаточно открыть настройки и снять соответствующую галочку в пункте меню «Производительность». Хотя делать это не рекомендуется.

Применение TDSSKiller

Одной из программ, способных отыскать руткиты, является утилита TDSSKiller. Выпускается известной «Лабораторией Касперского», поэтому в ее качестве сомневаться не приходится. Как видно из названия, проверка направлена на поиск одного из распространенных видов руткитов - TDSS. Проверить свой компьютер с ее помощью можно бесплатно. Для этого достаточно найти ее на официальном сайте.

Программа не требует установки, после загрузки можно сразу запускать проверку. Перед работой придется принять условия использования. После этого есть возможность изменить параметры проверки соответствующей командой. Если дополнительных пожеланий нет, следует оставить все по умолчанию и нажать кнопку для начала проверки в том же окне.

Дальше потребуется немного подождать, пока программа будет осуществлять проверку заданных элементов системы. При обнаружении опасные приложения отключаются , предусмотрена возможность лечения. Для того чтобы они удалились, перезагружать компьютер необязательно.

Существуют и другие эффективные антируткиты. Главное, не забыть ими воспользоваться. При выборе антивируса желательно сразу обращать внимание на возможность борьбы с таким типом приложений. К сожалению, большинство стандартных программ-защитников не имеют подобной функции либо она недостаточно эффективна. В этом случае желательно заменить антивирус или воспользоваться специализированной программой для удаления. Только так можно обезопасить себя от нежелательных последствий, вызываемых руткитами.

Как вы знаете, первые вирусы и трояны появились много лет назад. Сегодня это можно сравнить с эпидемией — в сети присутствует такое количество вредоносных файлов, что защитить свою систему от них крайне сложно. Тем не менее, существующие ныне антивирусы вполне неплохо справляются с вредоносными файлами, хотя даже они зачастую не в состоянии защитить ПК пользователя от руткитов.

Что это такое?

Изначально вирусы создавались едва ли не ради развлечения, однако затем их решено было применять для различных действий. К примеру, хакеры могут получить доступ к огромному количеству компьютеров и с их помощью организовать массированную DDoS-атаку или, например, начать рассылать спам в огромных масштабах.

Для захвата компьютера пользователя и применяются так называемые руткиты. Это вредоносное ПО, которое не только прячется от «глаз» антивируса, если такой присутствует на вашей машине, но и скрывает другое вредоносное программное обеспечение.

Руткиты достаточно легко обходят стандартную защиту ПК в виде того же брандмауэра и прячутся в недрах операционной системы таким образом,что бы их было практически невозможно обнаружить — в тех местах, до которых не доходит. В самом рутките может быть спрятано самое различное программное обеспечение, начиная от кейлоггеров и заканчивая специальным ботом, который ворует информацию, хранящуюся в браузере. А именно в браузере можно обнаружить весьма интересные данные, включая даже пароли от кредитных карт (именно поэтому я всегда напоминаю о том, что сохранять в интернет-обозревателях важную информацию нельзя).

Кроме того, Руткит часто имеет функцию бэкдора, что позволяет злоумышленнику подключаться к нему дистанционно. Что это значит? А то, что злоумышленник может добавлять и изменять функции вредоносного ПО, а в некоторых случаях даже способен управлять вашим компьютером, например, с целью рассылки того же спама.

Самое опасное то, что распознать руткит, если он остался незамеченным, в дальнейшем будет совсем непросто. А он, между тем, будет контроллировать ваш ПК…

Распространение и маскировка руткитов

«Подцепить» руткит сложности не представляет. Для этого достаточно скачать какой-нибудь файл с неизвестного ресурса, в котором в том числе будет находиться руткит. Зачатую активация вредоносного ПО происходит в тот момент, когда пользователь пытается открыть файл, который он скачал.

Нередко заражении происходит даже в том случае, если вы не скачиваете вообще никаких файлов из сети. Дело в том, что некоторые сайты подвергаются хакерской атаке, в результате чего они модифицируются таким образом, что бы при открытии странички руткит автоматически попадал на компьютер пользователя через «дыры» в браузере.

В общем, с этим проблем быть не должно, если у вас установлен антивирус, который, впрочем, не является панацеей. Он определяет наличие руткита по так называем сигнатурам — цепочкам кода в теле вредоносного файла, на основании чего моментально определяет, что этот файл опасен для системы и блокирует его. Именно поэтому так важно, что бы антивирус обновлялся ежедневно, ведь в сети каждый день появляется новое вредоносное ПО.

Существует и другая возможность определения руткитов — эвристический анализ, основанный на поведении файлов. К примеру, если файл начал вдруг ходить по системе и удалять ее различные компоненты, то с 99% точностью можно сказать, что это вирус или руткит. АВ его уничтожит или удалит.

Впрочем, не все так просто. Дело в том, что руткиты часто «прикидываются» вполне безопасными процессами, в результате чего антивирус обходит их стороной. А нередко они и вовсе «захватывают» антивирус, управляя им по своему усмотрению.

Вариации руткитов

Стоит отметить, что на текущий момент существует несколько вариаций руткитов. Например, те, которые находятся на уровне пользователя, получают те же права, что и любое приложение, запущенное на компьютере. Это самый распространенный вид руткитов, который не так сложно выявить. А вот руткиты на уровне ядра распознать очень сложно, к тому же в этом случае злоумышленник получает максимальный доступ к вашему ПК, что позволяет ему делать с ними практически все, что угодно. Однако у такого вида руткитов есть одна особенность — они очень дороги, поэтому используются редко.

В последнее время набирают обороты руткиты для , а также буткиты, которые получает управление компьютером еще до того, как загружается операционная система.

Наибольшем успехом пользуются самодельные руткиты, которые создаются с помощью специального набора инструментов, который распространяется в интернете.

Удаление руткитов

Основная проблема в удалении руткитов заключается в том, что они противодействуют своему обнаружению за счет нескольких различных методик, поэтому обычный антивирус здесь помогает не всегда. Необходимо применять специальные программы, нацеленные именно на поиск руткитов с различными способами анализа. Стоит также отметить, что удаление руткита — процесс не всегда простой и приходится удалять достаточно большое количество файлов. Нередко руткиты настолько сильно повреждают операционную систему, что восстановить ее невозможно и может потребоваться ее полная переустановка.

Впрочем, в большинстве случаев хватает вполне стандартного ПО для поиска руткитов, которое зачастую распространяется бесплатно. Например, известная программа Gmer отлично справляется с возникшими трудностями.

Похожие публикации: