Что такое руткиты. Программы для удаления руткитов

Агрессивное развитие руткитов до сих пор остается безнаказанным и продолжается столь же активно, не встречая никакого существенного сопротивления со стороны защитных технологий, большинство из которых хорошо работает только на словах и ловит общедоступные руткиты, взятые с rootkits.com или аналогичных ресурсов. Руткиты, написанные «под заказ», обнаруживаются значительно хуже, если вообще обнаруживаются. Причем даже такие продвинутые технологии детекции, как
удаленное сканирование портов , оказываются бессильными перед новейшими версиями руткитов, которые реально палятся только руками, хвостом и головой.

Мыщъх постоянно держит включенным honeypot на базе VMware, засасывающий кучу малвари. Ее анализ указывает на неуклонный рост количества руткитов, обитающих исключительно в памяти и не записывающих себя на диск, в результате чего у них отпадает необходимость в сокрытии файлов и ветвей реестра, прямо или косвенно ответственных за автозагрузку. Они не создают новых процессов, предпочитая внедряться в адресное пространство уже существующих. Они не открывают новых портов, перехватывая входящий трафик с помощью сырых сокетов или внедряясь в сетевые драйверы (например, в TCPIP.SYS или NDIS.SYS).

В результате ни в реестре, ни в файловой системе не происходит никаких изменений, а значит, ничего прятать не приходится! Естественно, перезагрузка убивает руткиты такого типа наповал, и потому многие администраторы полагают, что никакой опасности нет. Не так уж сложно перезагрузить сервер при возникновении подозрений на его компрометацию. Однако именно
установка факта компрометации является первоочередной и самой сложной задачей , стоящей перед администратором. Если сервер действительно был скомпрометирован, то необходимо выяснить, как именно он был скомпрометирован! В противном случае повторные атаки не заставят себя ждать, не говоря уже о том, что после удаления
требуется как
минимум изменить пароли на все ресурсы, иначе хакер сможет обойтись и без руткита, используя ранее перехваченные пассы.

Собственно говоря, при всем различии NT и Linux/BSD техника поиска руткитов одна и та же. Первым делом нам необходимо заполучить дамп ядра или запустить ядерный отладчик. Теоретически руткиты могут перехватывать любые операции, в том числе и попытку сохранения дампа. В NT для этого им достаточно перехватить NativeAPI-функцию KeBugCheckEx и, прежде чем возвратить ей управление, вычистить все следы своего пребывания в оперативной памяти. Технически реализовать это несложно. Понадобится не больше пары сотен строк ассемблерного кода, но… мне не известен ни один руткит, реально делающий это. Так же можно обхитрить и ядерный отладчик. Устанавливаем всем хакнутым страницам атрибут только на
исполнение (если ЦП поддерживает бит NX/XD) или ставим страницу в NO_ACCESS, а при возникновении исключения смотрим, пытаются ли нас прочесть или исполнить. И если нас читают, то это явно отладчик, для обмана которого временно снимаем перехват. Но это всего лишь теория. На практике она еще никем не реализована, и когда будет реализована - неизвестно.

Увы, абсолютно надежных способов детекции руткитов не существует, и на любую меру есть своя контрмера. Но не будем теоретизировать, вернемся к реально существующим руткитам, а точнее, к получению дампа памяти. В NT в «Свойствах системы» () необходимо выбрать «Полный дамп», затем запустить «Редактор реестра», открыть ветвь HKLM\System\CurrentControlSet\Services\i8042prt\Parameters и установить параметр CrashOnCtrlScroll (типа REG_DWORD) в любое ненулевое значение, после чего нажатие с последующим двойным нажатием Вызовет голубой экран с кодом E2h (MANUALLY_INITIATED_CRASH). К сожалению, чтобы изменения реестра вступили в силу, необходимо перезагрузить машину,
прибив при этом руткит, который мы пытаемся найти, так что эту операцию следует осуществлять заблаговременно.

Кстати говоря, последовательность срабатывает, даже если машина ушла в нирвану и уже не реагирует на . Причем, в отличие от RESET, комбинация выполняет сброс дисковых буферов, что уменьшает риск потери данных, поэтому CrashOnCtrlScroll стоит настроить и в том случае, когда мы не собираемся охотиться на руткиты.

В тех случаях, когда CrashOnCtrlScroll не настроен, а перезагрузка не приемлема, можно взять любой драйвер из NTDDK и вставить в начало DriverEntry какую-нибудь недопустимую операцию: деление на ноль, обращение к памяти по нулевому указателю и т.д. Тогда при загрузке драйвера немедленно вспыхнет голубой экран, а на диск будет сброшен полный дамп памяти ядра со всей малварью, в нем содержащейся.

В Linux ручной сброс дампа осуществляется при нажатии (при этом ядро должно быть откомпилировано с параметром CONFIG_MAGIC_SYSRQ, равным «yes», или должна быть выполнена команда «echo 1 > /proc/sys/kernel/sysrq»).

В xBSD-системах комбинация (кстати говоря, измененная в некоторых раскладках клавиатуры) вызывает всплытие ядерного отладчика (аналог для SoftICE в NT), который, к сожалению, по умолчанию не входит в ядро, и потому его необходимо предварительно перекомпилировать, добавив строки «options DDB» и «options BREAK_TO_DEBUGGER» в файл конфигурации ядра. Если же последняя опция не обозначена (о ней часто забывают), то в отладчик можно войти из консоли командой «sysctl debug.enter_debugger=ddb».

Полученный дамп ядра можно анализировать любой сподручной утилитой, благо недостатка в них ощущать не приходится. Например, в NT для этой цели обычно используется
WinDbg , но мыщъх предпочитает исследовать систему вживую с помощью SoftICE, ближайшим аналогом которого в мире Linux является
LinICE .

Значит, нажимаем мы (SoftICE), (LinICE) или (xBSD) и оказываемся в ядре. Далее пишем «u имя_функции» и последовательно перебираем имена всех функций (ну или не всех, а самых соблазнительных для перехвата), список которых под NT можно получить командой «dumpbin.exe ntoskrnl.exe /export > output.txt» (где dumpbin.exe – утилита, входящая в состав Microsoft Visual Studio и Platform SDK). А под Linux/xBSD эту же задачу можно решить, изучив символьную информацию несжатого и нестрипнутого ядра.

В начале нормальных, неперехваченных функций должен находиться стандартный пролог вида «PUSH EBP/MOV EBP, ESP» или типа того. Если же туда воткнут JMP или CALL, то с вероятностью, близкой к единице, данная функция кем-то перехвачена. А вот кем — это вопрос. Кроме руткитов перехватом занимаются антивирусы, брандмауэры и другие программы, поэтому, прежде чем отправляться на поиск малвари, необходимо хорошо изучить особенности своей системы со всеми установленными приложениями.

Продвинутые руткиты внедряют JMP/CALL не в начало функции, а в ее середину, чтобы не вызывать подозрений. На самом деле, проанализировав код хакнутой функции, легко убедиться в некоторой его ненормальности. Левый JMP/CALL просто не вписывается в алгоритм! Однако, чтобы прийти к подобному заключению, необходимо не только знать ассемблер, но и иметь опыт дизассемблирования. К счастью, продвинутые руткиты встречаются достаточно редко, и подавляющее большинство из них внедряется в самое начало.

Просмотрев все функции и убедившись в отсутствии следов явного перехвата, приступаем к изучению таблицы системных функций, которая под SoftICE вызывается командой NTCALL, а под Lin-Ice – командой D sys_call_table. Поскольку функции, перечисленные в таблице, не экспортируются ядром NT, то в отсутствие символьной информации (которую можно получить с сервера Microsoft с помощью утилиты SymbolRetriver от NuMega) SoftICE отображает имя ближайшей экспортируемой функции плюс смещение. А потому мы не можем быстро сказать: перехвачена данная функция или нет, и нам придется набирать команду «u адрес_функции», чтобы посмотреть, что там находится: нормальный, неперехваченный пролог или JMP/CALL. В
никсах информация о символах присутствует по умолчанию и подобных проблем не возникает.

Естественно, помимо описанных существуют и другие методики перехвата, используемые руткитами, однако они довольно сложны для понимания и требуют предварительной подготовки, а потому здесь не рассматриваются.

Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу... И жить спокойно.

Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать хакерские атаки невиданной ранее мощности. В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ - руткиты

Что такое руткиты?

Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки - незаметно для антивирусов и других защитных программ захватить чужой компьютер. У таких руткитов, как Hacker Defender , в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать «замаскированных вредителей» (см. врезку на стр. ??) и использовать их по своему усмотрению. Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.

Хитрости руткитов

Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.

Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек - *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.

«Захват власти » руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.

Как маскируются руткиты?

Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам - характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя». Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения - этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его - уничтожить.

Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»

Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.

Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные

Как распространяются руткиты?

• Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
• Еще один путь распространения - подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров

«Самодельные» руткиты

Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»... Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:

• красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
• считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
• скрывать свои вредоносные функции - программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».

Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».

Как избавиться от руткитов?

Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.

Обобщение результатов тестирования

Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».

Распознавание руткитов

В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.

Удаление руткитов

Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.

Слишком сложное управление

То, что обнаружение скрытого вредоносного «софта» - дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя...

Итог

К нашей радости, победитель теста - Gmer 1.0 - и второй призер, AVG Anti-Rootkit , обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И Gmer , и AVG Anti-Rootkit удаляют большую часть найденных «вредителей», но все-таки не всех... Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».

Компьютерным вирусом можно назвать программу, которая скрытно работает и наносит вред всей системе или какой-то отдельной ее части. Каждый второй программист сталкивался с данной проблемой. Не осталось уже ни одного пользователя ПК, который не знал бы, что такое

Виды компьютерных вирусов:

1. Черви. Это программы, которые захламляют систему путём постоянного размножения, копирования самих себя. Чем больше их в системе, тем медленнее она работает. Червь никак не может слиться с любой безопасной программой. Он существует в виде самостоятельного файла(ов).
2. сливаются с безвредными и маскируются в них. Они не наносят никакого ущерба компьютеру, пока пользователь не запустит файл, в котором находится троян. Эти вирусы используются для удаления и изменения данных.
3. Шпионские программы занимаются сбором информации. Их цель - обнаружить коды, пароли и передать тому, кто создал их и запустил в интернет, проще говоря - хозяину.
4. Зомби-вирусы дают возможность хакеру контролировать заражённый компьютер. Пользователь может вообще не знать, что его ПК заражен и кто-то его использует.
5. Блокирующие программы не дают возможности вообще войти в систему.

Что такое руткит?

Руткит - это одна или несколько программ, которые скрывают присутствие нежелательных приложений на компьютере, помогая злоумышленникам действовать незаметно. Он содержит в себе абсолютно весь набор функций вредоносного ПО. Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит - это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.

Другими словами, руткит - это приложение, которое отвечает за перехват системных функций. Для операционной системы Windows можно выделить такие популярные руткиты: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.

Разновидности

Существует несколько вариантов этих вирусных программ. Их можно разделить на две категории: user-mode (пользовательские) и kernel-mode (руткиты уровня ядра). Утилиты первой категории имеют те же возможности, что и обычные приложения, которые можно запустить на устройстве. Они могут использовать память уже запущенных программ. Это наиболее популярный вариант. Руткиты второй категории находятся глубоко в системе и имеют полный доступ к компьютеру. Если такая программа установлена, то хакер может делать с атакованным устройством практически все, что хочет. Руткиты такого уровня гораздо сложнее создать, поэтому первая категория и пользуется большей популярностью. Но вирусную программу уровня ядра совсем непросто найти и удалить, и защита от компьютерных вирусов зачастую здесь абсолютно бессильна.

Существуют и другие, более редкие варианты руткитов. Называют эти программы буткитами. Суть их работы заключается в том, что они получают контроль над устройством задолго до запуска системы. Совсем недавно были созданы руткиты, атакующие Android-смартфоны. Хакерские технологии развиваются так же, как лецинзионное ПО - идут в ногу со временем.

Самодельные руткиты

Огромное количество зараженных компьютеров находятся в так называемой зомби-сети и используются для того, чтобы рассылать спам-сообщения. При этом пользователи этих ПК ничего не подозревают о такой «деятельности». До сегодняшнего дня было принято думать, что создавать упомянутые сети могут лишь профессиональные программисты. Но совсем скоро все может кардинально измениться. В сети реально найти всё больше инструментов для создания вирусных программ. Например, при помощи набора под названием Pinch можно легко создать руткит. Основой для этого вредоносного ПО будет Pinch Builder Trojan, который можно дополнить различными функциями. Это приложение с лёгкостью сможет считывать пароли в браузерах, распознавать вводимые данные и отправлять их аферистам, а также ловко прятать свои функции.

Способы заражения устройства

Изначально руткиты внедряются в систему точно так же, как и другие вирусные программы. При уязвимости плагина или браузера попасть на компьютер для приложения не составит никакого труда. Часто для этих целей используют флеш-накопители. Иногда хакеры просто бросают флешки в местах скопления людей, где человек может забрать зараженное устройство с собой. Так на компьютер жертвы попадает руткит. Это приводит к тому, что приложение использует слабые стороны системы и с легкостью получает доминирующее положение в ней. Затем программа проводит установку вспомогательных компонентов, которые используются для управления компьютером на расстоянии.

Фишинг

Нередко система заражается посредством фишинга. Существует большая возможность попадания кода на компьютер в процессе скачивания нелицензированных игр и программ. Очень часто его маскируют под файл, который называется Readme. Никогда нельзя забывать об опасности софта и игр, скачиваемых с непроверенных сайтов. Чаще всего пользователь запускает руткит самостоятельно, после чего программа сразу же прячет все признаки своей деятельности, и обнаружить ее потом очень непросто.

Почему руткит тяжело обнаружить?

Эта программа занимается перехватом данных различных приложений. Иногда антивирус засекает эти действия сразу. Но зачастую, когда устройство уже подвергнуто заражению, вирус с лёгкостью прячет всю информацию о состоянии компьютера, при этом следы деятельности уже исчезли, а сведения обо всём вредном софте удалены. Очевидно, что в такой ситуации у антивируса нет возможности найти какие-либо признаки руткита и попытаться устранить его. Но, как показывает практика, способны сдержать такие атаки. А компании, которые занимаются производством защитного ПО, регулярно обновляют продукцию и добавляют в неё необходимую информацию о новых уязвимостях.

Поиск руткитов на компьютере

Для поиска этих можно использовать различные утилиты, специально созданные для этих целей. Неплохо справляется с этой задачей "Антивирус Касперского". Следует просто проверять устройство на наличие всякого рода уязвимостей и вредоносных программ. Такая проверка очень важна для защиты системы от вирусов, в том числе и от руткитов. При помощи сканирования обнаруживается вредоносный код, который не смогла засечь защита от нежелательных программ. Вдобавок поиск помогает найти уязвимые места операционной системы, через которые злоумышленники могут заниматься распространением вредоносных программ и объектов. Вы ищете подходящую защиту? Вам вполне подойдет "Касперский". Руткит можно обнаружить, просто включив периодический поиск этих вирусов в вашей системе.

Для более детального поиска подобных приложений необходимо настроить антивирус на проверку работы важнейших файлов системы на самом низком уровне. Также очень важно гарантировать высокий уровень самозащиты антивируса, так как руткит может запросто вывести его из строя.

Проверка накопителей

Для того чтобы быть уверенным в безопасности компьютера, необходимо проверять при включении все переносные накопители. Руткиты могут легко проникнуть в вашу операционную систему через съемные диски, флешки. "Антивирус Касперского" подвергает моноторингу абсолютно все съемные при подключении их к устройству. Для этого нужно просто настроить проверку накопителей и обязательно следить за обновлением вашего антивируса.

Удаление руткита

В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки - полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.

Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты. Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей. Более того, эта программа способна удалять более простые руткиты посредством функции лечения.

Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант - ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.

Итак, продолжим рассматривать приложения, которые могут помочь нам избавиться от руткитов на наших ПК. Предыдущую часть статьи можно .

Sophos Anti-Rootkit

Это довольно компактное приложение для борьбы с руткитами, обладающее простым и понятным интерфейсом (то, чего не хватает «профессиональным» утилитам). Утилита сканирует реестр и критические, по мнению разработчиков, каталоги системы, выявляя скрытые объекты. Sophos Anti-Rootkit требует установки в систему. В отличие от большинства других программ со сходными функциями это приложение предупреждает пользователя о возможности влияния на производительность и работоспособность ОС в случае удаления того или иного конкретного руткита.

При запуске программа предложит нам выбрать, что именно будет сканироваться. Откровенно говоря, лучше сканировать все. Исключение даже одного пункта (системный реестр, запущенные процессы и локальные диски) оставит лазейку для руткитов, окопавшихся в системе. После сканирования из обнаруженных Sophos Anti-Rootkit объектов (туда стабильно попадают модули Symantec Antivirus, Kaspersky Antivirus, драйверы виртуальных CD-ROM и т.п.) нужно выбрать те, которые вы решили удалить, согласившись с тем, что они крайне подозрительны.

Для облегчения принятия решения программа даже дает описания найденных объектов с рядом рекомендаций. Для того, чтобы прочитать его, нужно выделить найденный объект.

Кроме того, приложение дает полный путь к объекту и ряд дополнительной информации в его описании. Можно изучить найденный объект, посмотреть сведения о нем в интернете и только потом принять взвешенное решение. После совершения выбора остается только нажать на кнопку «Clean up checked items».

RootRepeal

Это приложение почему-то довольно редко используют и описывают. Между тем, RootRepeal очень хороший и эффективный инструмент, позволяющий обнаруживать множество вариантов руткитов.

Эта программа портативна, хотя и не так наглядна, как Sophos Anti-Rootkit, однако при приложении минимальных усилий со стороны пользователя способна оказать огромную помощь в обнаружении вредоносного ПО. Однако она не указывает пользователю автоматически, что именно в этом месте сидит руткит, а предоставляет информацию (запущенные процессы, используемые файлы, скрытые процессы, хуки, информация о ядре системы и т.п.), которую пользователю придется проанализировать и оценить самому.

После анализа и обнаружения подозрительных процессов можно отыскать в интернет их описания и, при необходимости, воспользоваться инструментарием RootRepeal для стирания файлов, завершения процессов или редактирования ключей реестра.

AVZ

Последней я оставил хорошо знакомую многим утилиту AVZ - антивирус Зайцева. Это инструмент с огромным количеством функций, который, среди всего прочего, может помочь в борьбе с руткитами. AVZ не требует установки (портативна). Обновляется она достаточно регулярно.

Для выполнения сканирования и обнаружения притаившихся в недрах системы руткитов, нужно выбрать нужный диск или директории в «Области поиска». AVZ прекрасно распознает руткиты, которые можно удалить автоматически или же может принимать решение в каждом отдельном случае (примечание редактора: можно задать в настройках программы варианты действий AVZ в тех или иных случаях) .

Поиск руткитов происходит в AVZ на основании исследования базовых системных библиотек на предмет перехвата их функций, то есть без использования сигнатур. Что ценно в данном приложении, оно может производить корректную блокировку работы ряда возможных противодействий со стороны руткитов. Поэтому сканер утилиты может обнаруживать замаскированные процессы и ключи реестра.

Разумеется, возможны и ложные срабатывания. Поэтому внимательно смотрите, что вы стираете с помощью AVZ. С помощью AVZ возможно также восстановления ряда системных функций после атаки вирусов и руткитов. Это также весьма полезно.

Подводим итоги

Мы рассмотрели ряд программ, которые помогут обнаружить руткиты на компьютерах и ноутбуках. Следует отметить, что большинство коммерческих, да и бесплатных антивирусов обзавелись уже достаточно мощными блоками обнаружения и удаления руткитов. Более того, в ближайшей перспективе я прогнозирую значительное снижение интереса обычных пользователей к антируткитным решениям, так как соответствующие модули антивирусных решений будут улучшаться, а среднему пользователю вовсе нет никакого интереса самому копаться в процессах, драйверах и файлах. Ему интересен быстрый и желательно без лишних усилий результат. Пока традиционные антивирусные программы далеко не эталон в поиске руткитов, для такого рода пользователей я бы рекомендовал Sophos Anti-Rootkit. А вот для сложных случаев все равно придется использовать GMER или AVZ и повышать квалификацию. Эти инструменты еще не скоро окончательно сойдут со сцены.

К тому же, все усугубляется тем, что руткиты активно препятствуют своему обнаружению и сделать это с помощью стандартных антивирусов порой бывает достаточно трудно. Проще говоря - вы даете доступ к своему компьютеру даже не зная этого и злоумышленник пользуется вашими данными незаметно от вас.

План урока представлен ниже:

Как удалить руткит программой TDSSKiller.

Так как от простых антивирусных программ руткиты в основном умеют прятаться, то на помощь в их удалении обычно приходят специальные программы. Первой на очереди у нас идет программа от лаборатории Касперского, которая подарила нам замечательный антивирус. Скачать утилиту можно на официальном сайте Касперского в разделе "Поддержка" по . Открываем спойлер "Как вылечить зараженную систему" и переходим по ссылке для закачки.

Ждем, пока программа просканирует и, при необходимости, вылечит операционную систему. К счастью, на моем компьютере угроз обнаружено не было.

При нахождении угроз они автоматически нейтрализуются. Примечательно то, что для лечения даже не требуется перезагрузки.

Как удалить руткит программой RootkitBuster.

Вторая программа, которую мы рассмотри, называется RootkitBuster и скачать ее можно с официального сайта . Преимуществом программы является то, что она не требует установки на компьютер.

На следующей странице выбираем для какой версии Windows необходимо скачать программу. О том как узнать разрядность операционной системы я говорил в своем уроке про . Далее в окне щелкаем по кнопке "Use HTTP Download" и сохраняем файл к себе на компьютер.

После закачки щелкаем по файлу правой клавишей мыши и выбираем пункт "Запуск от имени администратора". Необходимо будет немного подождать. Откроется новое окно, в котором необходимо поставить галочку на принятии лицензионного соглашения и нажать кнопку "Next".

Вы попадете в главное окно программы, где для сканирования нужно будет нажать кнопку "Scan Now", при этом нужно оставить галочку на всех пунктах в левой колонке, кроме "File Streams" (на 64 разрядных системах количество настроек может быть меньше).

После сканирования вы получите уведомления об обнаруженных подозрительных файлах. Эти файлы можно выделить галочками и внизу нажать кнопку "Fix Now". В процессе удаления руткитов, в может быть предложено перезагрузить компьютер, обязательно соглашайтесь.

Как удалить руткит программой Sophos Anti-Rootkit

Ну и напоследок давайте разберем еще одну утилиту, которая помогает избавиться от руткитов. Она пригодится вам в том случае, если первые два оказались нерабочими или вам пришлись не по душе.

Запускаем программу, в настройках сканирования оставляем все галочки и нажимаем кнопку "Start scan".

Поиск руткитов может продолжаться достаточно долго. В конце вы получите полный отчет по найденным проблемам в виде списка. Замечу, что здесь есть одна особенность. Когда вы выбираете найденный файл в списке после сканирования, в окне ниже появляется его описание. Если в строке "Removable" стоит значение "Yes (but clean up not recommended for this file)", то это файл удалять не рекомендуется, так как он является системным и его удаление может повлиять на работу всей операционной системы.

Все остальные записи, у которых нет указанной выше строки, вы можете смело выделить галочками и удалить с помощью кнопки "Clean up checked items". В моем примере я не стал дожидаться окончания сканирования и на скриншоте ниже показал процесс удаления лишь для примера.

Вот такие три способа можно использовать для удаления руткитов с вашего компьютера. Программы все очень легкие и не требуют каких-то особенных знаний. Выбирайте тот способ, который считаете самым удобным. Также, в некоторых антивирусах уже начали встраивать подобную защиту, поэтому при выборе антивирусного решения ориентируйтесь и на встроенную защиту от руткитов.

В данном уроке рассмотрим как установить и обновить Adobe Flash Player.

Руткит (англ. rootkit) - это специальная программа или набор программ, которые предназначены для скрытия следов злоумышленника или вредоносной программы в системе. Заполучив такое "добро" на свой компьютер, вы предоставляете хакеру возможность подключаться к нему. Он получает доступ к управлению вашим компьютером и дальнейшие действия "вредителя" зависят только от его фантазии.