Что такое руткит? Как работают руткиты? Объяснение руткитов.

Хотя можно скрыть вредоносное ПО таким образом, чтобы обмануть даже традиционные антивирусные / антишпионские продукты, большинство вредоносных программ уже используют руткиты, чтобы глубоко спрятаться на вашем ПК с Windows… и они становятся все более опасными! Руткит DL3 - один из самых продвинутых руткитов, когда-либо встречавшихся в мире. Руткит был стабильным и мог заразить 32-битные операционные системы Windows; хотя права администратора были необходимы для установки заразы в систему. Но TDL3 теперь обновлен и теперь может заражать даже 64-битные версии Windows!

Что такое руткит

Вирус Rootkit - это вредоносное ПО скрытого типа, предназначенное для того, чтобы скрыть существование определенных процессов или программ на вашем компьютере от обычных методов обнаружения, чтобы предоставить ему или другому вредоносному процессу привилегированный доступ к вашему компьютеру.

Руткиты для Windows обычно используются, чтобы скрыть вредоносное программное обеспечение, например, от антивирусной программы. Он используется в злонамеренных целях вирусами, червями, бэкдорами и шпионским ПО. Вирус в сочетании с руткитом производит так называемые полностью скрытые вирусы. Руткиты более распространены в сфере шпионского ПО, и теперь они также все чаще используются авторами вирусов.

В настоящее время они представляют собой новый тип супершпионского ПО, которое эффективно скрывает и напрямую влияет на ядро ​​операционной системы. Они используются, чтобы скрыть присутствие на вашем компьютере вредоносных объектов, таких как трояны или клавиатурные шпионы. Если угроза использует технологию руткитов для сокрытия, очень сложно найти вредоносное ПО на вашем компьютере.

Сами по себе руткиты не опасны. Их единственная цель - скрыть программное обеспечение и следы, оставленные в операционной системе. Будь то обычное программное обеспечение или вредоносные программы.

Существует три основных типа руткитов. Первый тип, «Руткиты ядра»Обычно добавляют свой собственный код к частям ядра операционной системы, тогда как второй тип,«Руткиты пользовательского режима»Специально предназначены для Windows для нормального запуска во время запуска системы или вводятся в систему с помощью так называемого« капельницы ». Третий тип - это MBR руткиты или буткиты.

Когда вы обнаружите, что ваш AntiVirus & AntiSpyware дает сбой, вам может потребоваться помощь хорошая Anti-Rootkit утилита. RootkitRevealer от Microsoft Sysinternals это продвинутая утилита обнаружения руткитов. В его выводе перечислены несоответствия API реестра и файловой системы, которые могут указывать на наличие руткита режима пользователя или ядра.

Отчет Microsoft Malware Protection Center об угрозах для руткитов

Центр защиты от вредоносных программ Microsoft предоставил для загрузки отчет об угрозах для руткитов. В отчете исследуется один из наиболее коварных типов вредоносных программ, угрожающих организациям и отдельным лицам сегодня, - руткит. В отчете рассматривается, как злоумышленники используют руткиты и как руткиты работают на пораженных компьютерах. Вот суть отчета, начиная с того, что такое руткиты - для новичка.

Руткит представляет собой набор инструментов, которые злоумышленник или создатель вредоносного ПО использует для получения контроля над любой незащищенной / незащищенной системой, которая в противном случае обычно зарезервирована для системного администратора. В последние годы термин «ROOTKIT» или «ROOTKIT FUNCTIONALITY» был заменен ВРЕДОНОСНЫМ ПО - программой, разработанной для оказания нежелательного воздействия на работоспособный компьютер. Основная функция вредоносного ПО - тайно извлекать ценные данные и другие ресурсы с компьютера пользователя и предоставлять их злоумышленнику, тем самым давая ему полный контроль над скомпрометированным компьютером. Кроме того, их трудно обнаружить и удалить, и они могут оставаться скрытыми в течение длительного времени, возможно, лет, если останутся незамеченными.

Поэтому, естественно, симптомы взломанного компьютера необходимо замаскировать и принять во внимание, прежде чем результат окажется фатальным. В частности, следует принять более строгие меры безопасности, чтобы раскрыть атаку. Но, как уже упоминалось, после установки этих руткитов / вредоносных программ их скрытые возможности затрудняют их удаление и их компоненты, которые они могут загрузить. По этой причине Microsoft создала отчет о ROOTKITS.

В 16-страничном отчете описывается, как злоумышленник использует руткиты и как эти руткиты работают на пораженных компьютерах.

Единственная цель отчета - выявить и внимательно изучить потенциально опасные вредоносные программы, угрожающие многим организациям, в частности, пользователям компьютеров. В нем также упоминаются некоторые из распространенных семейств вредоносных программ и освещается метод, который злоумышленники используют для установки этих руткитов в своих корыстных целях в исправных системах. В оставшейся части отчета вы найдете экспертов, дающих несколько рекомендаций, которые помогут пользователям снизить угрозу, исходящую от руткитов.

Типы руткитов

Есть много мест, где вредоносное ПО может установить себя в операционную систему. Таким образом, в основном тип руткита определяется его местоположением, в котором он выполняет подрыв пути выполнения. Это включает в себя:

1. Руткиты пользовательского режима
2. Руткиты режима ядра
3. MBR руткиты / буткиты

Возможный эффект от взлома руткита в режиме ядра показан на снимке экрана ниже.

Третий тип, модифицируйте основную загрузочную запись, чтобы получить контроль над системой и начать процесс загрузки с самой ранней возможной точки в последовательности загрузки3. Он скрывает файлы, изменения реестра, доказательства сетевых подключений, а также другие возможные индикаторы, которые могут указывать на его присутствие.

Известные семейства вредоносных программ, использующие функции руткитов

• Win32 / Sinowal13 - Многокомпонентное семейство вредоносных программ, которые пытаются украсть конфиденциальные данные, такие как имена пользователей и пароли для различных систем. Это включает попытки украсть данные аутентификации для различных учетных записей FTP, HTTP и электронной почты, а также учетные данные, используемые для онлайн-банкинга и других финансовых транзакций.
• Win32 / Cutwail15 - Троянец, скачивающий и запускающий произвольные файлы. Загруженные файлы могут быть выполнены с диска или введены непосредственно в другие процессы. Хотя функциональность загружаемых файлов варьируется, Cutwail обычно загружает другие компоненты, которые рассылают спам. Он использует руткит режима ядра и устанавливает несколько драйверов устройств, чтобы скрыть свои компоненты от затронутых пользователей.
• Win32 / Rustock - Многокомпонентное семейство троянцев-бэкдоров с поддержкой руткитов, изначально разработанных для помощи в распространении «спамовой» электронной почты через ботнет. Ботнет - это большая сеть скомпрометированных компьютеров, контролируемая злоумышленником.

Защита от руткитов

Предотвращение установки руткитов - самый эффективный способ избежать заражения руткитами. Для этого необходимо инвестировать в защитные технологии, такие как антивирусы и брандмауэры. Такие продукты должны использовать комплексный подход к защите с использованием традиционного обнаружения на основе сигнатур, эвристического обнаружения, динамических и отзывчивых возможностей сигнатур и мониторинга поведения.

Все эти наборы сигнатур следует поддерживать в актуальном состоянии с помощью механизма автоматического обновления. Антивирусные решения Microsoft включают ряд технологий, разработанных специально для защиты от руткитов, в том числе мониторинг поведения ядра в реальном времени, который обнаруживает и сообщает о попытках изменить ядро ​​уязвимой системы, а также прямой синтаксический анализ файловой системы, который облегчает идентификацию и удаление скрытых драйверов.

Если система обнаружена скомпрометированной, может оказаться полезным дополнительный инструмент, позволяющий загружаться в заведомо исправную или надежную среду, поскольку он может предложить некоторые соответствующие меры по исправлению положения.

При таких обстоятельствах,

1. Средство автономной проверки системы (часть набора средств диагностики и восстановления Microsoft (DaRT))
2. Автономный Защитник Windows может быть полезен.

Для получения дополнительной информации вы можете загрузить отчет в формате PDF из Центра загрузки Майкрософт.