Отзыв о сайте

Компьютерные вирусы. Руткиты и все, что мы должны о них знать


 Что такое "руткит"

 Происхождение термина "руткит" корнями уходит в операционные системы семейства UNIX. В английском варианте "rootkit" состоит из двух слов: root - суперпользователь (аналог администратора в Windows) и kit - набор программных средств, позволяющий злоумышленнику получить "привилегированный" доступ в систему - естественно, без согласия настоящего администратора. Первые руткиты, появились в начале 90-х годов и долгое время были особенностью исключительно UNIX-систем, но хорошие идеи, как известно не пропадают, и конец XX века ознаменовался уже тем, что массово начали появляться вирусные программы подобного рода, функционирующие под Windows.

 Кто и зачем использует руткиты

Компьютерные вирусы. Руткиты и все, что мы должны о них знать  Основная функция, которую выполняет руткиты - это обеспечение удаленного доступа в систему. Иными словами, они дают своим создателям практически безграничную власть над компьютерами ничего не подозревающих пользователей. Внедряясь в систему, такие вредоносные программы могут легко перехватывать и модифицировать низкоуровневые API функции, что позволяет им качественно скрывать от пользователя и антивирусного ПО свое присутствие на компьютере.

 Нельзя сказать, что руткит исключительно вредоносная программа. По сути, ими является подавляющее большинство программных средств защиты от копирования (а так же средств обхода этих защит). Взять к примеру печально известный случай, когда японская корпорация Sony встраивала утилиты подобного рода в свои лицензионные аудио-диски.

 Как распространяются руткиты

 Самый популярный способ распространения: через программы обмена мгновенными сообщениями. Попав на компьютер, руткит рассылает сообщения, содержащие вредоносные вложения, всем, чьи адреса есть в списке контактов. Существует и более современный подход, который заключается во вставке вредоносного кода в файлы PDF. Для активизации достаточно просто открыть файл.

 Какими бывают руткиты

 Существует несколько типов руткитов, отличающихся между собой по степени воздействия на систему и сложности обнаружения. Самый простой из них - руткит, функционирующий на пользовательском уровне (user-mode). Он запускается на компьютере, используя права администратора, что позволяет ему успешно скрывать свое присутствие, выдавая собственные действия за работу системных служб и приложений. Хотя избавиться от него достаточно сложно - вредоносная программа создает копии необходимых файлов на разделах жесткого диска и автоматически запускается при каждом старте системы - это единственный вид, поддающийся обнаружению антивирусными и антишпионскими программами.

 Второй тип - руткиты, функционирующие на уровне ядра (kernel-mode). Понимая, что вредоносная программа, работающая на уровне пользователя может быть обнаружена, разработчики создали руткит, способный перехватывать функции на уровне ядра операционной системы. Один из признаков его присутствия на компьютере - нестабильность операционной системы.

 Гибридный руткит. Этот тип вредоносного ПО сочетает в себе простоту в использовании и стабильность руткитов пользовательского режима и скрытность руткитов уровня ядра. Микс получился весьма успешным и в настоящий момент широко используется.

 Модифицирующий прошивку руткит. Его особенность состоит в том, что он способен прописываться в прошивку. Даже если антивирусная программа обнаружит и удалит руткит, то после перезагрузки, он получит возможность снова вернуться в систему.

 Каковы симптомы заражения руткитом

Компьютерные вирусы. Руткиты и все, что мы должны о них знать  Как уже говорилось, обнаружить присутствие их в системе чрезвычайно сложно, но есть некоторые признаки, позволяющие предположить заражение:

  • Компьютер не реагирует на действия мыши и клавиатуры.
  • Настройки операционной системы меняются без участия пользователя - это один из способов руткита скрыть свои действия.
  • Нестабильно работает доступ в сеть из-за значительно возросшего интернет-трафика.

 Стоит отметить, что правильно работающий руктит вполне способен не допустить появления всех этих симптомов, за исключением разве что последнего. Да и то только в случае, если компьютер выступает в роли ретранслятора спама или участвует в DDoS-атаках (объем трафика порой увеличивается так, что скрыть это не представляется возможным).

 Как обнаружить и удалить руткит

 Обнаружить руткит, а тем более от него избавиться достаточно сложно. Тем не менее, поселившийся в системе руткит уровня пользователя, можно попытаться обнаружить одним из следующих сканеров:

 Сложность заключается в том, что даже удалив его, нельзя быть абсолютно уверенным, что где-нибудь на компьютере не сохранились резервные копии. Для большей гарантии лучше загрузиться с LiveCD и проверить систему еще раз. Но самый надежный способ - это подключение к заведомо чистому компьютеру и долгая проверка приложениями типа Encase на присутствие вредоносного кода.

Оценка статьи:
11
2
20.11.2010 / 2803

Обсуждение
Смотреть все сообщения Оставить комментарий