Що таке руткіти і боротьба з ними в «Касперськом»

Як відомо, існує кілька основних типів шкідливих програм. Багато користувачів не роблять різниці між ними, об’єднуючи загальною назвою «віруси». У підсумку необхідний софт для захисту не встановлюється або використовується неправильно. Природно, такий підхід може поставити під загрозу безпеку системи.

Поняття і історія руткітів

Близько 20 років тому руткіти створювалися як своєрідне доповнення до інших типів шкідливих програм – «Шпигунам» і вірусам. Їх головною метою було лише приховати таке ПО від користувача і його захисту.

Перші подібні програми з’явилися в епоху Unix. Сьогодні їх діяльність пов’язана в основному з Windows. З плином часу руткіти змінилися і сьогодні включають повноцінний набір функцій, властивий шкідливим програмам. З їх допомогою можливо здійснити на пристрої жертви практично будь-які дії:

  • викрадати інформацію: паролі, банківські дані;
  • відслідковувати поведінку в мережі;
  • встановлювати, видаляти програми та ін.

Тобто, по суті, вони дозволяють управляти комп’ютером жертви на відстані. Зараз руткіти є вже самостійний тип шкідливого софту.

Одна з основних особливостей і одночасно загроз, полягає в тому, що такі програми-шкідники зазвичай не розпізнаються стандартними антивірусами або файерволами. Пошук часто нічого не дає. Тому одного разу проникнувши в системні файли або пам’ять, вони можуть залишатися непоміченими довгі роки, завдаючи шкоди пристрою і його господареві.

Подібні програми спеціально створені таким чином, щоб ховатися при пошуку, що проводиться програмами-захисниками. Мало того, деякі з них здатні відключати антивіруси та інші засоби безпеки. В арсеналі можуть перебувати різні інструменти:

  • бот для здійснення DDos-атак;
  • «Злодій» паролів;
  • сканер карток;
  • клавіатурний «шпигун» і ін.

Управляти чужим комп’ютером дозволяє функція бекдор. З її допомогою відбувається підключення і установка необхідних модулів. Далі хакер може робити з пристроєм практично все що завгодно.

види руткітів

Руткіти умовно можна розділити на дві основні категорії:

  1. рівня користувача – володіють на комп’ютері правами нарівні з іншими додатками. Вони втручаються в інші процеси і використовують їх пам’ять. Найбільш поширений вид.
  2. рівня ядра – проникають в систему і отримують майже безмежні можливості доступу до будь-яких процесів. Зустрічаються помітно рідше, мабуть, тому, що їх складніше створити. Вони гірше виявляються і видаляються.

Приклади поширених додатків:

  • Alureon;
  • TDSS;
  • Necurs.

Крім основних, існують більш рідкісні форми – буткіти. вони перетворять завантажувач і перехоплюють управління не чекаючи запуску операційної системи. У зв’язку зі зростаючим значенням смартфонів, в останні кілька років можна зустріти руткіти, що працюють на Android.

методи зараження

Способи проникнення нічим не відрізняються від інших класів: вірусів, хробаків, троянів:

  • відвідування ненадійних сайтів – використовуються «слабкі місця» в браузері;
  • через інші пристрої, іноді зловмисники спеціально залишають флешки в відвідуваних місцях;
  • підозрілі файли, що розсилаються поштою та ін.

Як правило, для зараження достатньо одного маленького файлу, який «сховається» всередині операційної системи. Потім він находітся її вразливі місця і отримує права адміністратора. Далі завантажується інше програмне забезпечення, необхідне для паразитичних цілей.

Виявлення і боротьба

Напрошується питання про те, як видалити руткіти. Складнощі в боротьбі присутні починаючи з виявлення. Пошук звичайним засобом не дасть результату. В арсеналі руткітів є різні методи маскування: приховування файлів, ключів реєстру і ін. Як правило, для пошуку шкідників необхідні спеціальні програми. Деякі з них призначені для виявлення і видалення тільки одного певного виду руткітів, інші – багатьох, в тому числі – невідомих. До перших належить, наприклад, TDSSkiller ( «Касперський»). Пошук зазвичай проводиться за допомогою:

  • сигнатурного аналізу;
  • поведінкового аналізу;
  • вузько методів.

Видаляти їх також непросто. Нерідко процес включає кілька етапів. В результаті, як правило, видалення зачіпає безліч файлів. Якщо системні ресурси пошкоджені занадто сильно, іноді доводиться встановлювати заново операційну систему. Для більш простих випадків цілком підійде, наприклад, стандартна процедура лікування в Kaspersky Internet Security. Для відключення регулярного пошуку руткітів в продуктах «Лабораторії Касперського» зазвичай досить відкрити настройки і зняти відповідну галочку в пункті меню «Продуктивність». Хоча робити це не рекомендується.

застосування TDSSKiller

Однією з програм, здатних відшукати руткіти, є утиліта TDSSKiller. Випускається відомої «Лабораторією Касперського», тому в її якості сумніватися не доводиться. Як видно з назви, перевірка спрямована на пошук одного з поширених видів руткітів – TDSS. Перевірити свій комп’ютер з її допомогою можна безкоштовно. Для цього достатньо знайти її на офіційному сайті.

Програма не вимагає установки, після завантаження можна відразу запускати перевірку. Перед роботою доведеться прийняти умови використання. Після цього є можливість змінити параметри перевірки відповідною командою. Якщо додаткових побажань немає, слід залишити все за умовчанням і натиснути кнопку для початку перевірки в тому ж вікні.

Далі буде потрібно трохи почекати, поки програма буде здійснювати перевірку заданих елементів системи. При виявленні небезпечні програми відключаються, передбачена можливість лікування. Для того щоб вони віддалилися, перезавантажувати комп’ютер необов’язково.

Існують і інші ефективні антіруткіта. Головне, не забути ними скористатися. При виборі антивіруса бажано відразу звертати увагу на можливість боротьби з таким типом додатків. На жаль, більшість стандартних програм-захисників не мають подібної функції або вона недостатньо ефективна. У цьому випадку бажано замінити антивірус або скористатися спеціалізованою програмою для видалення. Тільки так можна убезпечити себе від небажаних наслідків, що викликаються руткитами.

Ссылка на основную публикацию