Что такое руткиты и в чем их особенность?
- Категория: Что такое?
- – Автор: Игорь (Администратор)
В рамках данной статьи, я расскажу вам что такое руткиты и в чем их особенность, а так же про связанные с этим нюансы.
Вирусы, трояны, логеры и прочие плохие программы это всегда неприятно. Они занимают место, загружают ресурсы компьютера, отсылают личные данные и проявляют прочую подобную активность. Тем не менее, большинство из них легко удаляется простым антивирусом. А даже если это не так, то обычно сам факт их присутствия быстро обнаруживается. То есть, как минимум, можно поискать соответствующую программку безопасности в интернете.
С руткитами же все сложнее. Они могут годами не проявлять никакой активности или успешно скрывать ее от глаз пользователя и программ безопасности.
Но, обо всем по порядку.
Руткит это
Руткит - это вредоносное программное обеспечение, которое скрытно выполняется в компьютере и предоставляет доступ злоумышленникам к различным возможностям. В дополнении к механизму собственного скрытия, чаще всего такие вирусы содержат в себе различного рода набор дополнительных инструментов. Это могут быть: загрузка файлов из интернета, запуск каких-либо программ, скрытие действий от антивирусов и прочих средств безопасности, блокирование доступа к чему-либо, заметание следов, логирование ввода и так далее.
Как видите, весьма опасная штука.
Стоит знать, что проникнуть в систему руткиты могут совершенно разнообразными методами. От обычных файлов из интернета до USB-флешек (и тому подобного). Кроме того, руткиты могут быть установлены и вместе с обычным программами, в этом смысле они схожи с троянскими программами. Но, все же отличия имеются. К примеру, трояны выдают себя за "полезную" программу, руткиты же обычно никак не проявляют видимой активности.
Виды руткитов
Рассмотрим основные классификации руткитов.
По уровню доступа (привилегий):
1. Уровень пользователя (user-mode) - данный вид руткита занимается тем, что внедряется в запущенные программы (процессы) и их память, тем самым получая доступ к системе с правами пользователя.
2. Уровень ядра (kernel-mode) - эти руткиты внедряются в саму операционную систему.
Не сложно догадаться, что kernel-mode руткиты представляют наибольшую угрозу, так как их возможности огромны.
По принципу действия:
1. Изменение алгоритмов ОС. В данном случае происходит изменение механизмов и файлов операционной системы. Это приводит к изменению размера файлов и, соответственно, к тому, что их легче обнаружить.
2. Изменение форматов данных ОС. Большая часть информации об управлении в операционной системе хранится и передается в виде специальных структур данных. Это означает, что если руткит может их корректировать, то ему совершенно не обязательно что-либо изменять в файлах ОС, достаточно лишь заменить функции вызова иными программами. Кроме того, такой подход позволяет прятать процессы в операционной системе. Именно поэтому, подобные руткиты сложнее всего обнаружить.
В чем их особенность?
Самой основной особенностью руткитов является то, что они могут блокировать действия программ безопасности. То есть, если руткит мощный и kernel-mode, то многие антивирусы просто не увидят его наличия. Однако, тут есть одна хитрость, но о ней чуть позже.
Второй важной особенностью является то, что обычно руткиты включают в себя весьма широкий спектр инструментов и позволяют злоумышленникам использовать не только отдельные части ОС, но и всего компьютера. К примеру, если имеется возможность скачивать файлы и скрытно запускать их в системе, то "негодяй" может, например, заниматься майнингом, просматривать ваши данные, запускать прочие вирусы, отправлять письма, печатать на принтере, рисовать картинки и тому подобное.
Третья особенность состоит в том, что в отличии от троянов и прочих вредоносных программ, которые беснуются практически сразу после установки, руткиты представляют собой некий запасной лаз, которым могут не пользоваться годами (или вообще никогда). Иными словами, руткиту может быть много лет, им заражено десятки и сотни миллионов компьютеров, но о нем никто не знает и, соответственно, нет программ для его определения и удаления.
Почему руткиты сложно обнаружить и удалить?
Как вы уже могли догадаться, основная причина кроется в том, как действуют руткиты, то есть прячутся и могут длительное время бездействовать. Однако, этот момент стоит чуть более подробно описать, так как есть нюансы.
Во-первых, многие люди сталкиваются с тем, что со временем комп начинает либо медленнее функционировать, либо вообще компьютер тормозит. Поэтому, небольшое ухудшение производительности от действий руткита можно вполне спутать с "захламленным компьютером".
Во-вторых, руткиты могут распространяться во все подключенные устройства - жесткие диски, флешки и прочее. Это значит, что если руткит был в компе долгое время, то его копий может быть много.
В-третьих, важно помнить, что это вредоносное обеспечение содержит в себе наборы инструментов. Это значит, что руткит может скачивать и свои различные версии (с соответствующим набором для противодействия антивирусам), а так же иные виды руткитов и вирусов. К примеру, почистили от троянов, а руткит остался.
В-четвертых, чем больше мест поддерживает возможность для программирования, тем больше возможностей у руткитов. К примеру, если такой вирус внедрится в прошивку биоса (буткит - bootkit) или контроллера жесткого диска, то обнаружить его станет в разы сложнее.
Существуют и иные нюансы, но даже из этих видно, что вопрос не так уж и прост.
Какие есть методы для их удаления?
Первым делом, стоит установить антивирус, затем антируткит (в отличии от первых, у них упор идет на обнаружение именно руткитов). Но, как уже говорил, это не всегда может помочь.
Поэтому переходим к хитрости. Необходимо сделать (но обязательно не в зараженном компьютере) загрузочный диск или флешку и загрузится с нее. После чего запустить проверку TDSSKiller, Dr Web CureIt! и прочими программами безопасности. Трюк тут состоит в том, что большинство руткитов загружаются только вместе с операционной системой, а раз загрузка компьютера происходит без основной ОС и обращения к жесткому диску, то руткит никак не может скрыть своего присутствия.
В остальном же борьба с подобными вирусами сводится к поиску в интернете специализированных программ для удаления известных видов руткитов.
Теперь, вы знаете что такое руткиты, каких типов они бывают, в чем их особенность и что вы можете сделать.
☕ Понравился обзор? Поделитесь с друзьями!