Компьютерным вирусом можно назвать программу, которая скрытно работает и наносит вред всей системе или какой-то отдельной ее части. Каждый второй программист сталкивался с данной проблемой. Не осталось уже ни одного пользователя ПК, который не знал бы, что такое
Виды компьютерных вирусов:
- Черви. Это программы, которые захламляют систему путём постоянного размножения, копирования самих себя. Чем больше их в системе, тем медленнее она работает. Червь никак не может слиться с любой безопасной программой. Он существует в виде самостоятельного файла(ов).
- сливаются с безвредными и маскируются в них. Они не наносят никакого ущерба компьютеру, пока пользователь не запустит файл, в котором находится троян. Эти вирусы используются для удаления и изменения данных.
- Шпионские программы занимаются сбором информации. Их цель - обнаружить коды, пароли и передать тому, кто создал их и запустил в интернет, проще говоря - хозяину.
- Зомби-вирусы дают возможность хакеру контролировать заражённый компьютер. Пользователь может вообще не знать, что его ПК заражен и кто-то его использует.
- Блокирующие программы не дают возможности вообще войти в систему.
Что такое руткит?
Руткит - это одна или несколько программ, которые скрывают присутствие нежелательных приложений на компьютере, помогая злоумышленникам действовать незаметно. Он содержит в себе абсолютно весь набор функций вредоносного ПО. Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит - это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.
Другими словами, руткит - это приложение, которое отвечает за перехват системных функций. Для операционной системы Windows можно выделить такие популярные руткиты: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.
Разновидности
Существует несколько вариантов этих вирусных программ. Их можно разделить на две категории: user-mode (пользовательские) и kernel-mode (руткиты уровня ядра). Утилиты первой категории имеют те же возможности, что и обычные приложения, которые можно запустить на устройстве. Они могут использовать память уже запущенных программ. Это наиболее популярный вариант. Руткиты второй категории находятся глубоко в системе и имеют полный доступ к компьютеру. Если такая программа установлена, то хакер может делать с атакованным устройством практически все, что хочет. Руткиты такого уровня гораздо сложнее создать, поэтому первая категория и пользуется большей популярностью. Но вирусную программу уровня ядра совсем непросто найти и удалить, и защита от компьютерных вирусов зачастую здесь абсолютно бессильна.
Существуют и другие, более редкие варианты руткитов. Называют эти программы буткитами. Суть их работы заключается в том, что они получают контроль над устройством задолго до запуска системы. Совсем недавно были созданы руткиты, атакующие Android-смартфоны. Хакерские технологии развиваются так же, как лецинзионное ПО - идут в ногу со временем.
Самодельные руткиты
Огромное количество зараженных компьютеров находятся в так называемой зомби-сети и используются для того, чтобы рассылать спам-сообщения. При этом пользователи этих ПК ничего не подозревают о такой «деятельности». До сегодняшнего дня было принято думать, что создавать упомянутые сети могут лишь профессиональные программисты. Но совсем скоро все может кардинально измениться. В сети реально найти всё больше инструментов для создания вирусных программ. Например, при помощи набора под названием Pinch можно легко создать руткит. Основой для этого вредоносного ПО будет Pinch Builder Trojan, который можно дополнить различными функциями. Это приложение с лёгкостью сможет считывать пароли в браузерах, распознавать вводимые данные и отправлять их аферистам, а также ловко прятать свои функции.
Способы заражения устройства
Изначально руткиты внедряются в систему точно так же, как и другие вирусные программы. При уязвимости плагина или браузера попасть на компьютер для приложения не составит никакого труда. Часто для этих целей используют флеш-накопители. Иногда хакеры просто бросают флешки в местах скопления людей, где человек может забрать зараженное устройство с собой. Так на компьютер жертвы попадает руткит. Это приводит к тому, что приложение использует слабые стороны системы и с легкостью получает доминирующее положение в ней. Затем программа проводит установку вспомогательных компонентов, которые используются для управления компьютером на расстоянии.
Фишинг
Нередко система заражается посредством фишинга. Существует большая возможность попадания кода на компьютер в процессе скачивания нелицензированных игр и программ. Очень часто его маскируют под файл, который называется Readme. Никогда нельзя забывать об опасности софта и игр, скачиваемых с непроверенных сайтов. Чаще всего пользователь запускает руткит самостоятельно, после чего программа сразу же прячет все признаки своей деятельности, и обнаружить ее потом очень непросто.
Почему руткит тяжело обнаружить?
Эта программа занимается перехватом данных различных приложений. Иногда антивирус засекает эти действия сразу. Но зачастую, когда устройство уже подвергнуто заражению, вирус с лёгкостью прячет всю информацию о состоянии компьютера, при этом следы деятельности уже исчезли, а сведения обо всём вредном софте удалены. Очевидно, что в такой ситуации у антивируса нет возможности найти какие-либо признаки руткита и попытаться устранить его. Но, как показывает практика, способны сдержать такие атаки. А компании, которые занимаются производством защитного ПО, регулярно обновляют продукцию и добавляют в неё необходимую информацию о новых уязвимостях.
Поиск руткитов на компьютере
Для поиска этих можно использовать различные утилиты, специально созданные для этих целей. Неплохо справляется с этой задачей "Антивирус Касперского". Следует просто проверять устройство на наличие всякого рода уязвимостей и вредоносных программ. Такая проверка очень важна для защиты системы от вирусов, в том числе и от руткитов. При помощи сканирования обнаруживается вредоносный код, который не смогла засечь защита от нежелательных программ. Вдобавок поиск помогает найти уязвимые места операционной системы, через которые злоумышленники могут заниматься распространением вредоносных программ и объектов. Вы ищете подходящую защиту? Вам вполне подойдет "Касперский". Руткит можно обнаружить, просто включив периодический поиск этих вирусов в вашей системе.
Для более детального поиска подобных приложений необходимо настроить антивирус на проверку работы важнейших файлов системы на самом низком уровне. Также очень важно гарантировать высокий уровень самозащиты антивируса, так как руткит может запросто вывести его из строя.
Проверка накопителей
Для того чтобы быть уверенным в безопасности компьютера, необходимо проверять при включении все переносные накопители. Руткиты могут легко проникнуть в вашу операционную систему через съемные диски, флешки. "Антивирус Касперского" подвергает моноторингу абсолютно все съемные при подключении их к устройству. Для этого нужно просто настроить проверку накопителей и обязательно следить за обновлением вашего антивируса.
Удаление руткита
В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки - полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.
Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты. Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей. Более того, эта программа способна удалять более простые руткиты посредством функции лечения.
Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант - ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.
Руткит – это программа, незаметно для пользователя проникающая в систему. Он способен перехватывать контроль управления компьютером, изменять его базовые конфигурации, а также осуществлять за деятельностью пользователя или попросту шпионить за ним. Однако руткит не всегда является вредоносной программой. Существует программное обеспечение, которое используется, например, в офисах для контроля деятельности персонала. Такие программы незаметно следят за пользователем, однако вредоносными по сути своей не являются. Если же руткит появляется на личном компьютере без ведома владельца, в большинстве случаев – это можно считать атакой.
В отличие от вирусов и троянов, обнаружение руткитов – не такая простая задача. Ни один антивирус в мире не способен обеспечить защиту от всех существующих руткитов. Тем не менее, использование лицензионных антивирусов с последними обновлениями антивирусных баз помогает избавиться от некоторых известных руткитов. Наличие руткитов на компьютере можно также определить по косвенным признакам, например, изменившемуся поведению некоторых программ или всей системы в целом. Полное еще более сложная задача, т.к. часто они представляют собой комплексы из нескольких файлов. Отследить каждый из них и уверенно утверждать, что тот или иной файл является частью руткита сложно. Самый простой способ избавиться от такого вредоносного кода – восстановить систему в более раннее состояние, до того как руткит появился на компьютере.
Видео по теме
Руткит – это такой вирус, который проникает в систему и начинает вредить. Он умеет скрывать как свои следы деятельности, так и вирусов-напарников. Делает он это с помощью захвата низкоуровневых функций API и внедрения в реестр. А еще они могут отдать контроль над ПК какому-нибудь злобному хакеру. Обнаружить их непросто, зато легко удалить.
Инструкция
Причины подозревать присутствие прокравшихся в систему руткитов: не запускаются сканеры-антивирусы (Virus Removal Касперского), резидентные антивирусы , друзья жалуются на потоки спама, идущие с вашего ПК, а некоторые странички почему-то упорно вас перенаправляют куда-то. В таком случае компьютер пора лечить.
Легче всего воспользоваться утилитами. Они бесплатны и просты. Касперский предлагает TDSSKiller – специальную программу против руткитов. Скачать ее можно с сайта Kaspersky в виде.exe-файла. Его нужно запустить и начать проверку. Все подозрительные файлы сохраняйте в карантин, а потом нужно будет зайти на сайт VirusTotal.com и отправить их из папки \TDSSKiller_Quarantine в системном разделе на анализ.
Еще одна вещь от Касперского, а вернее, от сотрудника лаборатории Зайцева Олега – AVZ. Перед ее запуском создается точка бэкапа, потому как утилита вычищает все. Перед стартом галочку поставьте напротив «Детектировать RooTkit и перехватчики API» и запускайте.
Руткит (англ. rootkit) - это специальная программа или набор программ, которые предназначены для скрытия следов злоумышленника или вредоносной программы в системе. Заполучив такое "добро" на свой компьютер, вы предоставляете хакеру возможность подключаться к нему. Он получает доступ к управлению вашим компьютером и дальнейшие действия "вредителя" зависят только от его фантазии.
К тому же, все усугубляется тем, что руткиты активно препятствуют своему обнаружению и сделать это с помощью стандартных антивирусов порой бывает достаточно трудно. Проще говоря - вы даете доступ к своему компьютеру даже не зная этого и злоумышленник пользуется вашими данными незаметно от вас.
План урока представлен ниже:
Как удалить руткит программой TDSSKiller.
Так как от простых антивирусных программ руткиты в основном умеют прятаться, то на помощь в их удалении обычно приходят специальные программы. Первой на очереди у нас идет программа от лаборатории Касперского, которая подарила нам замечательный антивирус. Скачать утилиту можно на официальном сайте Касперского в разделе "Поддержка" по . Открываем спойлер "Как вылечить зараженную систему" и переходим по ссылке для закачки.
Ждем, пока программа просканирует и, при необходимости, вылечит операционную систему. К счастью, на моем компьютере угроз обнаружено не было.
При нахождении угроз они автоматически нейтрализуются. Примечательно то, что для лечения даже не требуется перезагрузки.
Как удалить руткит программой RootkitBuster.
Вторая программа, которую мы рассмотри, называется RootkitBuster и скачать ее можно с официального сайта . Преимуществом программы является то, что она не требует установки на компьютер.
На следующей странице выбираем для какой версии Windows необходимо скачать программу. О том как узнать разрядность операционной системы я говорил в своем уроке про . Далее в окне щелкаем по кнопке "Use HTTP Download" и сохраняем файл к себе на компьютер.
После закачки щелкаем по файлу правой клавишей мыши и выбираем пункт "Запуск от имени администратора". Необходимо будет немного подождать. Откроется новое окно, в котором необходимо поставить галочку на принятии лицензионного соглашения и нажать кнопку "Next".
Вы попадете в главное окно программы, где для сканирования нужно будет нажать кнопку "Scan Now", при этом нужно оставить галочку на всех пунктах в левой колонке, кроме "File Streams" (на 64 разрядных системах количество настроек может быть меньше).
После сканирования вы получите уведомления об обнаруженных подозрительных файлах. Эти файлы можно выделить галочками и внизу нажать кнопку "Fix Now". В процессе удаления руткитов, в может быть предложено перезагрузить компьютер, обязательно соглашайтесь.
Как удалить руткит программой Sophos Anti-Rootkit
Ну и напоследок давайте разберем еще одну утилиту, которая помогает избавиться от руткитов. Она пригодится вам в том случае, если первые два оказались нерабочими или вам пришлись не по душе.
Запускаем программу, в настройках сканирования оставляем все галочки и нажимаем кнопку "Start scan".
Поиск руткитов может продолжаться достаточно долго. В конце вы получите полный отчет по найденным проблемам в виде списка. Замечу, что здесь есть одна особенность. Когда вы выбираете найденный файл в списке после сканирования, в окне ниже появляется его описание. Если в строке "Removable" стоит значение "Yes (but clean up not recommended for this file)", то это файл удалять не рекомендуется, так как он является системным и его удаление может повлиять на работу всей операционной системы.
Все остальные записи, у которых нет указанной выше строки, вы можете смело выделить галочками и удалить с помощью кнопки "Clean up checked items". В моем примере я не стал дожидаться окончания сканирования и на скриншоте ниже показал процесс удаления лишь для примера.
Вот такие три способа можно использовать для удаления руткитов с вашего компьютера. Программы все очень легкие и не требуют каких-то особенных знаний. Выбирайте тот способ, который считаете самым удобным. Также, в некоторых антивирусах уже начали встраивать подобную защиту, поэтому при выборе антивирусного решения ориентируйтесь и на встроенную защиту от руткитов.
В этом уроке рассмотрим вопрос о том, как открыть pdf файл с помощью бесплатной программы Foxit Reader.
Руткиты (rootkit) в мире компьютерных вирусов прослыли как самые отъявленные шпионы. Они умеют скрывать своё присутствие не только от пользователя, но и от многих антивирусных программ. Внедряются в системные процессы, файлы, память. Действуют на уровне ядра (в абсолютной «глубине» Windows). В их теле могут находиться другие зловреды - трояны, клавиатурные шпионы, сканнеры банковских карт, черви.
Эта статья расскажет вам о том, что можно предпринять рядовому пользователю, чтобы удалить руткит из ОС.
Первые помощники в детектировании и нейтрализации подобных цифровых инфекций из ПК - специальные утилиты. Ознакомимся с самыми популярными решениями, отлично зарекомендовавшими себя в борьбе с руткитами.
TDSSKiller
Продукт, созданный в лаборатории Касперского. Распространяется бесплатно. Находит и обезвреживает многие разновидности «штамма». В том числе: TDSS, SST, Pihar, Stoned, Сidox. А также отслеживает руткит-аномалии: скрытые/заблокированные сервисы и файлы, подменённые/модифицированные системные процессы, вредоносные настройки в MBR (загрузочном секторе дискового раздела).
Чтобы проверить ОС при помощи этой утилиты, выполните следующие действия:
1. Откройте в браузере страницу - support.kaspersky.ru/viruses/disinfection/5350 (официальный сайт компании Kaspersky).
2. Щёлкните мышкой по первому разделу «1. Как вылечить… ».
4. Запустите скачанный инсталлятор двойным щелчком мыши. В окне «Разрешить… ?» выберите «Да».
5. Под текстом лицензионного соглашения клацните по кнопке «Принять». Эти же действия выполните и в блоке «KSN-соглашение».
6. В панели антируткита откройте опцию «Изменить параметры».
7. В новом окне «Настройки», в разделе «Дополнительные опции», включите функцию «Проверять цифровые подписи… » (установите флажок).
Совет! Дополнительно в разделе «Объекты… » можно активировать проверку загруженных модулей (потребуется перезагрузка ОС).
8. Щёлкните «OK».
9. Нажмите кнопку «Начать проверку».
10. По завершении сканирования ознакомьтесь с отчётом. В нём будет указано, сколько удалено вредоносных объектов с компьютера.
Bitdefender Rootkit Remover
Простой в использовании антируткит (стартует по одному клику мышки). Разработан компанией Bitdefender’s LABS. Распознаёт множество актуальных угроз: TDL/SST/Pihar, Plite, Fips, MBR Locker, Ponreb, Mebroot и др. Является портативным приложением (не требует инсталляции). Молниеносно выполняет проверку. В каждом релизе утилиты обновляется и расширяется база зловредов.
Чтобы воспользоваться Rootkit Remover, выполните нижерасположенную инструкцию:
1. Откройте страницу для загрузки утилиты - abs.bitdefender.com/projects/rootkit-remover/rootkit-remover/ (офсайт разработчика).
2. Выберите дистрибутив, согласно разрядности установленной Windows (x86 или x64): щёлкните по соответствующей ссылке.
Совет! Узнать тип ОС можно в Панели управления: Система и безопасность → Система.
3. Запустите загруженный исполняемый файл от имени администратора.
4. Для запуска проверки в окне приложения клацните по кнопке «Start Scan».
AVZ
Мультифункциональный антивирусный сканер, созданный российским программистом Олегом Зайцевым. Способен найти и обезвредить вирус любого типа (включая модули SpyWare и Adware, трояны, черви). Оснащён специальным инструментом для эффективного выявления руткитов - настраиваемым модулем Anti-Rootkit.
Чтобы проверить Windows на наличие вирусов утилитой AVZ, выполните нижеприведённое руководство:
1. Перейдите на страницу для скачивания - z-oleg.com/secur/avz/download.php (официальный веб-ресурс разработчика).
3. После загрузки распакуйте архив: щелчок правой кнопкой → Извлечь всё.
4. Запустите с правами администратора файл AVZ (иконка «щит и меч»).
5. Обновите сигнатурные базы утилиты: в вертикальной панели кнопок, расположенной в правой нижней части окна, кликните по кнопке «земной шар». В новом окне нажмите «Пуск».
6. Выполните предварительные настройки на вкладках:
- «Область поиска» - установите флажки возле разделов диска, которые необходимо проверить;
- «Типы файлов» - включите опцию «Все файлы»;
- «Параметры поиска» : в блоке «Эвристический анализ» передвиньте регулятор порога вверх (до значения «Максимальный уровень»), включите функцию «Расширенный анализ»; в «Anti-Rootkit» установите флаги возле всех надстроек (детектировать перехватчики, блокировать работу Rootkit User-Mode и Kernel-Mode).
7. Чтобы началась проверка разделов, нажмите по кнопке «Пуск».
Условно-бесплатное решение (триал - 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.
Чтобы задействовать утилиту:
1. Скачайте инсталлятор с офсайта (greatis.com/unhackme/): щёлкните на странице кнопку «Download».
2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).
3. Запустите файл unhackme_setup. Следуйте указаниям установщика.
4. Кликните ярлык утилиты на рабочем столе.
5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».
6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.
7. В отрывшемся меню выберите режим сканирования:
- «Онлайн проверка… » - подключение баз, находящихся на сервере разработчика;
- «… тест» - оперативное тестирование;
- «Сканирование… » - детектирование и обезвреживание в безопасном режиме.
Trend Micro RootkitBuster
Свободно распространяется. Проверяет файлы, реестр, службы, драйверы, загрузочные сектора, перехватчики (service hooks), порты и многие другие важные составляющие ОС. Детектирует широкий спектр руткитов.
Чтобы «вылечить» ПК утилитой RootkitBuster:
1. Откройте офсайт компании - trendmicro.com/us/index.html.
2. Перейдите в раздел «Download».
3. В списке программных продуктов, в разделе «Other», щёлкните «RootkitBuster».
4. Выберите релиз (для 32 или 64-битной системы).
5. Запустите скачанный антируткит от имени администратора.
6. Включите проверку всех элементов (Master Boot Records, Services, Kernel Code).
7. Нажмите «Scan Now» для старта сканирования.
Безусловно, есть и другие антируткиты. Применяйте только действенные и удобные в пользовании решения от известных разработчиков. Также «не списывайте со счетов» лечащие утилиты (Dr.Web CureIt!, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware) и антивирусные загрузочные диски (Avira, Panda, Kaspersky и др.), выполняющие проверку без запуска ОС.
Удачной охоты на руткитов! И помните, что в борьбе с ними все средства хороши.
Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу... И жить спокойно.
Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать хакерские атаки невиданной ранее мощности. В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ - руткиты
Что такое руткиты?
Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки - незаметно для антивирусов и других защитных программ захватить чужой компьютер. У таких руткитов, как Hacker Defender , в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать «замаскированных вредителей» (см. врезку на стр. ??) и использовать их по своему усмотрению. Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.
Хитрости руткитов
Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.
Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек - *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.
«Захват власти » руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.
Как маскируются руткиты?
Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам - характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя». Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения - этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его - уничтожить.
Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»
Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.
Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные
Как распространяются руткиты?
- Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
- Еще один путь распространения - подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров
«Самодельные» руткиты
Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»... Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:
- красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
- считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
- скрывать свои вредоносные функции - программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».
Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».
Как избавиться от руткитов?
Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.
Обобщение результатов тестирования
Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».
Распознавание руткитов
В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.
Удаление руткитов
Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.
Слишком сложное управление
То, что обнаружение скрытого вредоносного «софта» - дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя...
Итог
К нашей радости, победитель теста - Gmer 1.0 - и второй призер, AVG Anti-Rootkit , обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И Gmer , и AVG Anti-Rootkit удаляют большую часть найденных «вредителей», но все-таки не всех... Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».
