Сегодня мы рассмотрим: Настоящие ценители музыки знают, что для качественного...
Как вы знаете, первые вирусы и трояны появились много лет назад. Сегодня это можно сравнить с эпидемией — в сети присутствует такое количество вредоносных файлов, что защитить свою систему от них крайне сложно. Тем не менее, существующие ныне антивирусы вполне неплохо справляются с вредоносными файлами, хотя даже они зачастую не в состоянии защитить ПК пользователя от руткитов.
Что это такое?
Изначально вирусы создавались едва ли не ради развлечения, однако затем их решено было применять для различных действий. К примеру, хакеры могут получить доступ к огромному количеству компьютеров и с их помощью организовать массированную DDoS-атаку или, например, начать рассылать спам в огромных масштабах.
Для захвата компьютера пользователя и применяются так называемые руткиты. Это вредоносное ПО, которое не только прячется от «глаз» антивируса, если такой присутствует на вашей машине, но и скрывает другое вредоносное программное обеспечение.
Руткиты достаточно легко обходят стандартную защиту ПК в виде того же брандмауэра и прячутся в недрах операционной системы таким образом,что бы их было практически невозможно обнаружить — в тех местах, до которых не доходит. В самом рутките может быть спрятано самое различное программное обеспечение, начиная от кейлоггеров и заканчивая специальным ботом, который ворует информацию, хранящуюся в браузере. А именно в браузере можно обнаружить весьма интересные данные, включая даже пароли от кредитных карт (именно поэтому я всегда напоминаю о том, что сохранять в интернет-обозревателях важную информацию нельзя).
Кроме того, Руткит часто имеет функцию бэкдора, что позволяет злоумышленнику подключаться к нему дистанционно. Что это значит? А то, что злоумышленник может добавлять и изменять функции вредоносного ПО, а в некоторых случаях даже способен управлять вашим компьютером, например, с целью рассылки того же спама.
Самое опасное то, что распознать руткит, если он остался незамеченным, в дальнейшем будет совсем непросто. А он, между тем, будет контроллировать ваш ПК…
Распространение и маскировка руткитов
«Подцепить» руткит сложности не представляет. Для этого достаточно скачать какой-нибудь файл с неизвестного ресурса, в котором в том числе будет находиться руткит. Зачатую активация вредоносного ПО происходит в тот момент, когда пользователь пытается открыть файл, который он скачал.
Нередко заражении происходит даже в том случае, если вы не скачиваете вообще никаких файлов из сети. Дело в том, что некоторые сайты подвергаются хакерской атаке, в результате чего они модифицируются таким образом, что бы при открытии странички руткит автоматически попадал на компьютер пользователя через «дыры» в браузере.
В общем, с этим проблем быть не должно, если у вас установлен антивирус, который, впрочем, не является панацеей. Он определяет наличие руткита по так называем сигнатурам — цепочкам кода в теле вредоносного файла, на основании чего моментально определяет, что этот файл опасен для системы и блокирует его. Именно поэтому так важно, что бы антивирус обновлялся ежедневно, ведь в сети каждый день появляется новое вредоносное ПО.
Существует и другая возможность определения руткитов — эвристический анализ, основанный на поведении файлов. К примеру, если файл начал вдруг ходить по системе и удалять ее различные компоненты, то с 99% точностью можно сказать, что это вирус или руткит. АВ его уничтожит или удалит.
Впрочем, не все так просто. Дело в том, что руткиты часто «прикидываются» вполне безопасными процессами, в результате чего антивирус обходит их стороной. А нередко они и вовсе «захватывают» антивирус, управляя им по своему усмотрению.
Вариации руткитов
Стоит отметить, что на текущий момент существует несколько вариаций руткитов. Например, те, которые находятся на уровне пользователя, получают те же права, что и любое приложение, запущенное на компьютере. Это самый распространенный вид руткитов, который не так сложно выявить. А вот руткиты на уровне ядра распознать очень сложно, к тому же в этом случае злоумышленник получает максимальный доступ к вашему ПК, что позволяет ему делать с ними практически все, что угодно. Однако у такого вида руткитов есть одна особенность — они очень дороги, поэтому используются редко.
В последнее время набирают обороты руткиты для , а также буткиты, которые получает управление компьютером еще до того, как загружается операционная система.
Наибольшем успехом пользуются самодельные руткиты, которые создаются с помощью специального набора инструментов, который распространяется в интернете.
Удаление руткитов
Основная проблема в удалении руткитов заключается в том, что они противодействуют своему обнаружению за счет нескольких различных методик, поэтому обычный антивирус здесь помогает не всегда. Необходимо применять специальные программы, нацеленные именно на поиск руткитов с различными способами анализа. Стоит также отметить, что удаление руткита — процесс не всегда простой и приходится удалять достаточно большое количество файлов. Нередко руткиты настолько сильно повреждают операционную систему, что восстановить ее невозможно и может потребоваться ее полная переустановка.
Впрочем, в большинстве случаев хватает вполне стандартного ПО для поиска руткитов, которое зачастую распространяется бесплатно. Например, известная программа Gmer отлично справляется с возникшими трудностями.
Руткиты – вид вредоносных программных средств, которые внедряются в операционную систему (ОС) компьютера и открывают к нему неограниченный доступ злоумышленнику через удаленное соединение.
Изначально (более 20 лет назад) руткиты предназначались для того, чтобы скрывать удаленные манипуляции злоумышленника или следы пребывания вирусов, троянов на компьютере жертвы. Сегодня – руткитами называют любые наборы утилит, которые:
- скрывают свою деятельность или деятельность других процессов;
- манипулируют процессами ОС;
- открывают доступ к средствам ОС через сеть;
- собирают пользовательские данные и отправляют их через сеть.
Виды руткитов
Рассмотрим все виды руткитов.
Виды руткитов
Руткиты уровня пользователя – самые распространенные. Они запускаются с правами текущего пользователя, реже администраторскими. Обычно они проникают на компьютер с целью сделать из него зомби-машину для или чтобы украсть конфиденциальные данные пользователя и переслать их злоумышленнику.
Руткиты уровня ядра – редки. Они запускаются с наивысшими правами, загружаются порой раньше операционной системы. Могут находится на компьютере годами, так как их очень сложно обнаружить, и они имеют наивысшие права в системе (root доступ).
Руткиты изменяющие пути исполнения внедряются в ОС, модифицируя обработчики событий операционной системы и системные файлы.
Руткиты, внедряющиеся в ядро, модифицируют само ядро операционной системы, их компоненты взаимодействуют друг с другом, образуя систему внутри системы. Удалить их можно только переустановив ОС.
Особый вид – это программно-аппаратные руткиты, которые работают на уровне выше чем любая операционная система. Они внедряются в механизм программного обеспечения аппаратной виртуализации.
Программно-аппаратные ракиты
Как попадает на компьютер
Руткиты попадают на компьютер пользователя так же, как и все остальное вредоносное ПО. Источником заражения может быть чужая флешка, письмо с незнакомого E-Mail адреса или случайно нажатая ссылка при серфинге в интернет.
На источнике заражения содержится только минимальный код внедрения. Когда он попадает в компьютер, то закрепится в системе и докачает все остальные компоненты с интернета. Когда он соберется в полном составе, он начнет делать то, для чего разработан – собирать данные и отправлять через интернет, устанавливать удаленный доступ к машине (backdoor – англ. черный ход).
Как бороться
Руткиты, которые внедряются в ядро чрезвычайно трудно обнаружить. Их не обнаруживает ни одно автоматизированное средство. Хорошая новость в том, что их единицы. Для каждого из них предназначено собственное средство, вроде TDSSKiller от лаборатории Касперского.
Средства для борьбы с руткитами уровня пользователя встроены в каждый современный пакет интернет защиты. Например, в Касперском (Kaspersky Internet Security) поиск руткитов по умолчанию включен и проводится каждый день, отключить его стандартными средствами нельзя.
Руткиты в Касперском
Это сделано для того, чтобы руткит не смог отключить защиту антивируса, чтобы проникнуть в систему. Если KIS встретит подозрительную активность в системе или узнает компонент руткита по сигнатурам, он заблокирует его.
Компьютерным вирусом можно назвать программу, которая скрытно работает и наносит вред всей системе или какой-то отдельной ее части. Каждый второй программист сталкивался с данной проблемой. Не осталось уже ни одного пользователя ПК, который не знал бы, что такое
Виды компьютерных вирусов:
- Черви. Это программы, которые захламляют систему путём постоянного размножения, копирования самих себя. Чем больше их в системе, тем медленнее она работает. Червь никак не может слиться с любой безопасной программой. Он существует в виде самостоятельного файла(ов).
- сливаются с безвредными и маскируются в них. Они не наносят никакого ущерба компьютеру, пока пользователь не запустит файл, в котором находится троян. Эти вирусы используются для удаления и изменения данных.
- Шпионские программы занимаются сбором информации. Их цель - обнаружить коды, пароли и передать тому, кто создал их и запустил в интернет, проще говоря - хозяину.
- Зомби-вирусы дают возможность хакеру контролировать заражённый компьютер. Пользователь может вообще не знать, что его ПК заражен и кто-то его использует.
- Блокирующие программы не дают возможности вообще войти в систему.
Что такое руткит?
Руткит - это одна или несколько программ, которые скрывают присутствие нежелательных приложений на компьютере, помогая злоумышленникам действовать незаметно. Он содержит в себе абсолютно весь набор функций вредоносного ПО. Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит - это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.
Другими словами, руткит - это приложение, которое отвечает за перехват системных функций. Для операционной системы Windows можно выделить такие популярные руткиты: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.
Разновидности
Существует несколько вариантов этих вирусных программ. Их можно разделить на две категории: user-mode (пользовательские) и kernel-mode (руткиты уровня ядра). Утилиты первой категории имеют те же возможности, что и обычные приложения, которые можно запустить на устройстве. Они могут использовать память уже запущенных программ. Это наиболее популярный вариант. Руткиты второй категории находятся глубоко в системе и имеют полный доступ к компьютеру. Если такая программа установлена, то хакер может делать с атакованным устройством практически все, что хочет. Руткиты такого уровня гораздо сложнее создать, поэтому первая категория и пользуется большей популярностью. Но вирусную программу уровня ядра совсем непросто найти и удалить, и защита от компьютерных вирусов зачастую здесь абсолютно бессильна.
Существуют и другие, более редкие варианты руткитов. Называют эти программы буткитами. Суть их работы заключается в том, что они получают контроль над устройством задолго до запуска системы. Совсем недавно были созданы руткиты, атакующие Android-смартфоны. Хакерские технологии развиваются так же, как лецинзионное ПО - идут в ногу со временем.
Самодельные руткиты
Огромное количество зараженных компьютеров находятся в так называемой зомби-сети и используются для того, чтобы рассылать спам-сообщения. При этом пользователи этих ПК ничего не подозревают о такой «деятельности». До сегодняшнего дня было принято думать, что создавать упомянутые сети могут лишь профессиональные программисты. Но совсем скоро все может кардинально измениться. В сети реально найти всё больше инструментов для создания вирусных программ. Например, при помощи набора под названием Pinch можно легко создать руткит. Основой для этого вредоносного ПО будет Pinch Builder Trojan, который можно дополнить различными функциями. Это приложение с лёгкостью сможет считывать пароли в браузерах, распознавать вводимые данные и отправлять их аферистам, а также ловко прятать свои функции.
Способы заражения устройства
Изначально руткиты внедряются в систему точно так же, как и другие вирусные программы. При уязвимости плагина или браузера попасть на компьютер для приложения не составит никакого труда. Часто для этих целей используют флеш-накопители. Иногда хакеры просто бросают флешки в местах скопления людей, где человек может забрать зараженное устройство с собой. Так на компьютер жертвы попадает руткит. Это приводит к тому, что приложение использует слабые стороны системы и с легкостью получает доминирующее положение в ней. Затем программа проводит установку вспомогательных компонентов, которые используются для управления компьютером на расстоянии.
Фишинг
Нередко система заражается посредством фишинга. Существует большая возможность попадания кода на компьютер в процессе скачивания нелицензированных игр и программ. Очень часто его маскируют под файл, который называется Readme. Никогда нельзя забывать об опасности софта и игр, скачиваемых с непроверенных сайтов. Чаще всего пользователь запускает руткит самостоятельно, после чего программа сразу же прячет все признаки своей деятельности, и обнаружить ее потом очень непросто.
Почему руткит тяжело обнаружить?
Эта программа занимается перехватом данных различных приложений. Иногда антивирус засекает эти действия сразу. Но зачастую, когда устройство уже подвергнуто заражению, вирус с лёгкостью прячет всю информацию о состоянии компьютера, при этом следы деятельности уже исчезли, а сведения обо всём вредном софте удалены. Очевидно, что в такой ситуации у антивируса нет возможности найти какие-либо признаки руткита и попытаться устранить его. Но, как показывает практика, способны сдержать такие атаки. А компании, которые занимаются производством защитного ПО, регулярно обновляют продукцию и добавляют в неё необходимую информацию о новых уязвимостях.
Поиск руткитов на компьютере
Для поиска этих можно использовать различные утилиты, специально созданные для этих целей. Неплохо справляется с этой задачей "Антивирус Касперского". Следует просто проверять устройство на наличие всякого рода уязвимостей и вредоносных программ. Такая проверка очень важна для защиты системы от вирусов, в том числе и от руткитов. При помощи сканирования обнаруживается вредоносный код, который не смогла засечь защита от нежелательных программ. Вдобавок поиск помогает найти уязвимые места операционной системы, через которые злоумышленники могут заниматься распространением вредоносных программ и объектов. Вы ищете подходящую защиту? Вам вполне подойдет "Касперский". Руткит можно обнаружить, просто включив периодический поиск этих вирусов в вашей системе.
Для более детального поиска подобных приложений необходимо настроить антивирус на проверку работы важнейших файлов системы на самом низком уровне. Также очень важно гарантировать высокий уровень самозащиты антивируса, так как руткит может запросто вывести его из строя.
Проверка накопителей
Для того чтобы быть уверенным в безопасности компьютера, необходимо проверять при включении все переносные накопители. Руткиты могут легко проникнуть в вашу операционную систему через съемные диски, флешки. "Антивирус Касперского" подвергает моноторингу абсолютно все съемные при подключении их к устройству. Для этого нужно просто настроить проверку накопителей и обязательно следить за обновлением вашего антивируса.
Удаление руткита
В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки - полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.
Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты. Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей. Более того, эта программа способна удалять более простые руткиты посредством функции лечения.
Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант - ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.
Вирусы становятся все более изощренными. На смену вредоносному ПО, которое просто портило данные, давно уже пришли средства для предоставления злоумышленникам контроля над вашим ПК. Из таких зараженных компьютеров давно уже составляются целые сети, которые выполняют различные задачи (рассылка спама, организация DDOS-атак). Однако для того чтобы получить доступ к управлению удаленным компьютером необходимо сначала внедрить в него какое-то управляющее ПО. Этим и занимаются вирусы. Вы спросите: «Как же они обходят антивирусные программы?» Способов придумано довольно много. Один из них - использование так называемых руткитов.
Руткит - способ сокрытия факта заражения
Руткит - это вовсе не вирус, как считают некоторые. Сам он никакого вреда не приносит. Руткит - это всего лишь программа или набор программных средств для сокрытия ряда объектов или определенного вида активности в системе. Такой маскировке, как правило, подвергаются ключи реестра, отвечающие за автоматический запуск вредоносного кода; файлы, содержащие вирусные сигнатуры или тело вируса; сетевые соединения вируса; активные процессы в зараженной системе, а также иные проявления вредоносной активности. Таким образом, руткиты продлевают время работы вредоносного кода до обнаружения его антивирусами или внимательным пользователем, путем затруднения обнаружения.
На самом деле, ситуация-то достаточно типичная. ПК, вроде бы в порядке. Антивирус молчит, в списке автозапуска чистота и порядок, лишних процессов нет. Однако в это самое время ваш компьютер может тихонечко рассылать спам, участвовать в атаке на сайты и т.п. «милые шалости». Такая ситуация может продолжаться долгое время. Даже годами!
Сам термин «руткит» (английский вариант - rootkit) сформировался в среде пользователей операционных систем UNIX. Так называли набор утилит или даже специальный модуль ядра системы, которые устанавливались на взломанной системе после получения хакером прав root (суперпользователя). Такой «джентельменский» набор позволял и далее держать взломанную систему под незаметным контролем. Именно для этого в состав rootkit входили утилиты для маскировки самого факта вторжения в систему.
Спите спокойно, жители Багдада, или как же маскируются руткиты?
Большинство современных антивирусных программ распознают вредоносное программное обеспечение по так называемым «сигнатурам». Они представляют собой характерные специфические цепочки кода, содержащиеся в теле вируса. Именно из таких сигнатур состоят, в большинстве своем, базы данных антивирусов, которые мы скачиваем с сайтов производителя. Такие цепочки кода - особые приметы вирусов, троянов и т.п. гадости, по которым антивирусная программа может опознать зловреда для того, чтобы его уничтожить.
Хорошие антивирусы также имеют блок так называемого «эвристического» анализа, который может распознать вредоносное программное обеспечение по ряду особенностей его поведения. Список таких «характерных» действий довольно велик и включает в себя диапазон от простейших удалений файлов какого-либо вида до хитрых изменений в ядре системы или подмены важных системных файлов или путей. Чем изощреннее становятся вирусы, тем более разветвленные алгоритмы приходится строить для эвристического анализа программистам, занимающимся разработкой антивирусных средств.
Как же может руткит обмануть такую многоуровневую защиту? Для этого они манипулируют процессами обмена данных между приложениями. Руткиты попросту удаляют сведения о себе и о вредоносном софте, который они «опекают» из этих процессов. Антивирусная программа в таком случае получает заведомо ложную информацию о полном благополучии в системе. Ни в блок сравнивающий сигнатуры, ни в блок эвристики просто не поступает данных, способных привести к тревоге.
Как руткиты попадают на компьютер?
Вариантов распространения такого рода программ огромное множество. Руткит может попасть в компьютер через вложенный в электронное письмо файл, может быть принесен на флешке ничего не подозревающим другом в виде зараженного или фальшивого документа DOC или PDF, может быть скачан из интернета вместе с бесплатной игрой или иным софтом (особенно часто это бывает, когда программы скачиваются не с сайта разработчика или известных надёжных софт-архивов, а с разных «пиратских» сайтов). Общим для этих способов является одно - пользователь сам запускает руткит на компьютере, не осознавая, что он делает. Кстати, пока руткит не запущен и лежит в латентном состоянии в виде документа, он становится легкой добычей для большинства антивирусов. Однако после запуска он тут же перехватывает системные процессы и отловить его становится довольно проблематично.
Еще один весьма нередкий путь распространения руткитов - различные интернет-сайты. Это могут быть и вполне приличные сайты, чьи хозяева и не подозревают, что их детище взломано и распространяет заразу, а могут быть и специально созданные сайты для распространения руткитов. В этом случае пользователю достаточно открыть веб-страницу сайта, после чего руткит попадает в его ПК. Это возможно благодаря наличию «дыр» в системе безопасности ряда браузеров. Особенно часто такое бывает, когда браузер не обновляется регулярно.
Как избавиться от руткитов?
А вот об этом мы поговорим с вами в следующей статье, которая так и будет называться « ».
Привет друзья, сейчас я Вам на простом примере из жизни объясню что такое руткиты . Один раз, ко мне за помощью обратился мой знакомый, проблема была в том, что ему отказал в обслуживании провайдер интернета за так называемый (broadcast) трафик или простыми словами - флуд. Что интересно, мой приятель и понятия не имел что это такое и как с этим бороться. Оператор провайдера просто сообщил моему товарищу что он распространяет broadcast пакеты всем пользователям сети со скоростью 7000-9000 пакетов в минуту и этим понижает общую пропускную способность сети. Операционная система у моего приятеля была Windows XP.
Что такое broadcast трафик? Это пакеты информации, предназначенные всем компьютерам сети. В обычном режиме один компьютер в сети рассылает в минуту 15 таких пакетов, компьютер же моего друга рассылал 9000 пакетов в минуту и его просто отключили от сети посоветовав переустановить драйвер на сетевой адаптер или полностью операционную систему. И на самом деле, причиной появления таких пакетов является неисправный драйвер сетевого адаптер, сам сетевой адаптер, с ошибками работающая винда или... вирусы!
Переустановка драйвера ничего не дала, также не помогла установка нового сетевого адаптера в разъём PCI, а вот переустановка Windows принесла свои плоды ровно на два дня, затем моего приятеля опять отключили от мира за тот же самый флуд.
Что делать? Первым делом я решил проверить компьютер на вирусы, результат оказался отрицательным и я ничего не нашёл, в конце концов я решил проверить Windows XP с помощью проверенной утилитки RootkitRevealer от Марка Руссиновича, данная утилита не удаляет руткиты, а только обнаруживает их и она нашла несколько руткитов!
Примечание: RootkitRevealer не работает в 64-битных операционных системах, также не советую запускать её в Windows 7, 8, 10, работайте лучше с программами: .
Пришлось отсоединять жёсткий диск моего друга и подсоединять его к своему компьютеру вторым, затем сканировать его диск C: утилитой TDSSKiller, которая и жахнула эти руткиты. Но руткиты сами не распространяют broadcast пакеты, они только скрывают негодяя, который это делает. После проверки жёсткого диска моего приятеля своим антивирусом я нашёл несколько червей, именно они и "долбились" по сети рассылая broadcast или multicast пакеты пытаясь пробить брешь в других компьютерах в сети и заразить их. Чем больше компьютеров заразишь, тем лучше, ведь получится Ботнет - состоящий из множества компьютеров, который можно использовать для DOS-атаки на любой ресурс в сети.
Позже мы установили как именно попали руткиты на компьютер моего друга - через взломанную компьютерную игрушку, которую мой приятель скачал на открытом ресурсе.
Что такое руткиты
Согласно классификации некоторых разработчиков антивирусных программных продуктов, руткиты (rootkits) не являются отдельным типом вредоносного ПО, а представляют собой более совершенствованный тип . В то же время, если трояны, как правило, маскируются под полезные программы, то руткиты прячутся более профессионально – с глубоким внедрением в систему.
Существуют даже руткиты уровня ядра, они заменяют часть кода ядра операционной системы, внедрённый руткитом модифицируемый код скрывает в себе программу способную удалённо управлять заражённым компьютером.
Другие руткиты добавляют свой код к распространённым библиотекам или драйверам, но не нарушают их основной функции.
Современные версии руткитов умеют прятать от пользователя папки, файлы, параметры системного реестра, работающие процессы приложений, системные службы, драйвера, сетевые соединения. Принцип их работы базируется на модификации данных и программного кода в памяти системы. Для чего всё это делается ?
Основные цели руткитов
Руткит (rootkit) сам по себе не опасен, и, опять же, сам по себе не является вредоносной программой – он не размножается, как , как они же, не уничтожает пользовательские данные и компьютерную технику. Руткиты не стремятся заразить через сеть другие компьютер, проникнув в один из них, как это делают . Задача руткита – скрыть действия другой вредоносной программы, которая орудует на компьютере. Руткит – это такой себе пособник преступника. А вот действия уже преступника – самой вредоносной программы, например, вируса, трояна или – могут иметь последствия различной степени опасности. Это может быть и предоставление мошеннику доступа к компьютеру, и слежка за действиями пользователя, и кража его конфиденциальных данных, и прочие весьма неприятные вещи, на которые способно вредоносное ПО.
Например руткит может послужить вспомогательным инструментом для внедрения в операционную систему трояна Backdoor (чёрный ход), основная задача которого – скрытное и полное управление заражённым компьютером превращающимся в настоящее "зомби", такой компьютер абсолютно не служит своему хозяину, а работает только на злоумышленников участвуя в различных DOS - атаках на определённые сетевые ресурсы.
Руткиты не всегда внедряются в систему не санкционировано. Разработчики иногда легально внедряют руткиты в полезные программы, не забыв при этом «побеспокоиться» о том, чтобы пользователь разрешил их установку вместе с основной программой.
Ещё одним отличием руткитов от прочего типа вредоносного ПО является возможность внедрения не только в Windows, но также и в Linux, которая считается безопасной операционной системой отчасти по той простой причине, что пока массово разработчики вирусов и троянов не особо заинтересованы в её пользовательской аудитории. Правда, руткиту внедриться в Linux намного сложнее, нежели в Windows.
Признаки наличия в системе руткита
Внедрённый в систему руткит может быть причиной подвисания маломощного компьютера. Но это, акцентирую, только теоретическая возможность того, что в компьютер проник руткит, ведь причин слабеньких устройств может быть очень много.
Другой признак возможного наличия в системе руткита – это отправка данных по сети при условии, что все программы и системные службы, взаимодействующие с сетью, не активны. Опять же, это не самый надёжный способ диагностики, поскольку руткиты, как правило, работают очень аккуратно, и в момент отправки им данных с компьютера ещё нужно суметь попасть.
Очевидных каких-то признаков, характерных именно для руткитов, увы, нет. о наличии в компьютере руткитов скажут гораздо больше, нежели внешние признаки.
Как избавиться от руткитов?
Друзья, лучший способ обнаружить руткит, это сканировать антивирусом жёсткий диск с заражённой Windows из другой операционной системы, например снять винчестер и подсоединить его к другому компьютеру вторым устройством (как сделал я) или использовать антивирусный загрузочный диск. Подробно о том, как избавиться от руткитов,
