вирус rootkit что такое
Как бороться с руткитами
Руткит умеет скрываться от антивирусов. Но качественному антивирусу эти трюки не помеха!
О руткитах, то есть вредоносном программном обеспечении, активно использующем технологии маскировки, чтобы скрыть свое присутствие в зараженной системе, знают преимущественно специалисты и энтузиасты. Между тем знать о существовании этой дряни стоит каждому пользователю, потому что если он еще не сталкивался с такой заразой лично, то велика вероятность, что столкнется в будущем, ведь создатели вирусов изобретают новые способы остаться незамеченными. И, кстати говоря, охотно делятся этими способами с другими преступниками за деньги.
Подобная скрытность позволяет вредоносному программному обеспечению очень долго, месяцами и даже годами, оставаться на компьютере пользователя и использовать машину по усмотрению злоумышленника. Вариантов тут немало: генерировать виртуальную валюту (биткоины), участвовать в рассылке спама, DDoS-атаках и тому подобных неправомерных действиях. Функционал руткита позволяет вредоносному коду скрывать свою активность не только от штатных средств ОС, но и от сенсоров антивирусной и сетевой защиты. Именно поэтому стоит разобраться, есть ли в вашем антивирусном продукте защита от руткитов и насколько она эффективна.
Что же позволяет руткиту оставаться незамеченным? Все довольно прозаично: зловред старается встроиться глубоко в структуру операционной системы и перехватывать стандартные запросы на чтение файлов, получение списка запущенных процессов и так далее. Ответы на эти запросы руткит выдает в отредактированном виде, стирая из всех списков свои файлы, процессы и прочие следы. Применяются и другие техники, такие как внедрение в легитимный процесс и «паразитирование» на его памяти, например. Это позволяет вредоносному ПО скрываться от недалеких антивирусных продуктов, которые работают на уровне операционной системы пользователя и которым не дано спуститься чуть глубже к ее ядру. А если антивирус все-таки научился находить руткит, то вредоносный код пытается деактивировать защиту, удалив какие-нибудь ее критичные компоненты. Один из ярких представителей подобного вида зловредов использовал интересную технику «ловли на живца». Руткит создавал файл-приманку, на которую реагировало антивирусное ПО. Как только антивирус пытался обратиться к этому файлу, руткит сразу завершал антивирусный процесс, а чтобы предотвратить его последующие запуски, изменял правила доступа к исполняемым файлам антивируса.
Что такое руткит и как удалить его с компьютера
Руткиты — наиболее сложная в обнаружении и удалении разновидность компьютерной заразы. Предупрежден — значит вооружен!
Руткиты существуют уже около 20 лет, помогая атакующим действовать на компьютерах своих жертв, подолгу оставаясь незамеченными. Термин нередко применяется к тем вредоносным программам, которые специально созданы так, чтобы действовать на зараженном компьютере скрытно и при этом позволять удаленно контролировать ПК. Поскольку руткиты относятся к наиболее неприятным разновидностям вредоносных приложений, мы решили кратко объяснить, каков принцип действия руткита и как поступать, если вы подозреваете, что компьютер заражен подобной гадостью.
Подробней о терминах
Первоначально термин rootkit означал набор вредоносных приложений, скрывающих свое присутствие на компьютере и позволяющих хакеру делать свои дела незаметно. Слово root в названии явно указывает, что слово зародилось в мире Unix-компьютеров, но сегодня когда мы говорим о руткитах, как правило речь ведется о Windows-компьютерах, и в понятие «руткит» включаются не только средства обеспечения скрытности, но и весь набор функций вредоносного приложения. Оно обычно прячется глубоко в недрах операционной системы и специально написано таким образом, чтобы избегать обнаружения антивирусами и другими средствами безопасности. Руткит может содержать различные вредоносные инструменты, такие как клавиатурный шпион, вор сохраненных паролей, сканер данных о банковских карточках, дистанционно управляемый бот для осуществления DDoS-атак, а также функции для отключения антивирусов. Руткит обычно имеет также функции бэкдора, то есть он позволяет атакующему дистанционно подключаться к зараженному компьютеру, устанавливать или удалять дополнительные модули и таким образом делать с машиной все, что подскажет фантазия. Некоторые примеры актуальных сегодня руткитов для Windows это TDSS, ZeroAccess, Alureon and Necurs.
Руткиты делятся на две категории: уровня пользователя и уровня ядра. Первые получают те же права, что обычное приложение, запущенное на компьютере. Они внедряются в другие запущенные процессы и используют их память. Это более распространенный вариант. Что касается руткитов уровня ядра, то они работают на самом глубинном уровне ОС, получая максимальный уровень доступа на компьютере. После инсталляции такого руткита, возможности атакующего практически безграничны. Руткиты уровня ядра обычно более сложны в создании, поэтому встречаются реже. Также их гораздо сложней обнаружить и удалить.
Есть и еще более экзотические вариации, такие как буткиты (bootkit), которые модифицируют загрузчик компьютера и получают управление еще даже до запуска операционной системы. В последние годы появились также мобильные руткиты, атакующие смартфоны под управлением Android.
Первично руткиты попадают на компьютер так же, как другие вредоносные приложения. Обычно используется уязвимость в браузере или плагине, также популярный способ заражения – через USB-флешки. Атакующие иногда даже оставляют зараженные флешки в общественных местах, где их может подобрать подходящая жертва. Затем руткит использует уязвимости ОС чтобы получить привилегированное положение в системе и устанавливает дополнительные компоненты, обеспечивающие удаленный доступ к компьютеру и другую вредоносную функциональность.
Основная сложность борьбы с руткитами в том, что они активно противодействуют своему обнаружению, пряча свои файлы и ключи реестра от сканирующих программ, а также применяя другие методики. Существуют утилиты, специально созданные для поиска известных и неизвестных руткитов разными узкоспециальными методами, а также с помощью сигнатурного и поведенческого анализа. Удаление руткита – тоже сложный и многоэтапный процесс, который редко сводится к удалению пары файлов. Обычно приходится применять специальную программу, такую как TDSSkiller, созданную для борьбы с руткитом TDSS. В некоторых случаях жертве даже приходится переустанавливать операционную систему, если в результате заражения компьютерные файлы повреждены слишком глубоко. Для менее сложных и вредоносных руткитов удаление может быть осуществлено с помощью обычной функции лечения в Kaspersky Internet Security.
Скрытая угроза. Руткиты как они есть
Традиционные вирусы, с которыми боролись на заре мировой компьютеризации, уходят со сцены вместе со своим любимым носителем — 3,5-дюймовой дискетой. Широкие каналы связи оказались для них слишком узкими. Пальму первенства перехватили сетевые черви. Именно с ними приходилось бороться антивирусным компаниям в последние годы.
Несмотря на изобретательность вирусописателей, на каждый вид червя найден свой дихлофос. Однако сегодня на сцену выходит новая разновидность вредоносных программ, которую не в силах обнаружить ни один антивирус или брандмауэр. Напасть получила название руткиты. Это не вирусы в привычном смысле. Они не размножаются сами по себе (во всяком случае, пока). Но руткиты открывают дорогу заразе, которая может стать причиной гибели операционной системы.
И то, что обнаружить их крайне сложно, делает эту новую угрозу опасной вдвойне. В конце концов, люди тоже умирают не от самого вируса СПИДа, а от любой другой посторонней инфекции, попавшей в ослабленный организм.
Вредоносная защита
Подцепить руткит можно где угодно. Хоть с музыкального CD, хоть на интернет-аукционе.
Руткиты (rootkit), как и бэкдоры (backdoor), — типично хакерский инструментарий. Но если последние предназначены для прямого силового воздействия на защиту атакованного компьютера (их можно сравнить с фомкой и ломиком), то у руткитов совсем иная роль. Они прячут от постороннего взгляда следы насилия над компьютером жертвы — файлы программ, которых никто по доброй воле туда не ставил. То есть руткиты выступают как «группа прикрытия», а в самом вредительстве, как правило, участия не принимают.
Казалось бы, и чего в них тогда такого страшного? Идея совсем не оригинальна. Всем известно, что Windows с давних пор вполне официально прячет от глаз потенциально опасного для нее криворукого пользователя, которыми по умолчанию в Microsoft считаются все, некоторые особо важные папки. Да и многие программы, в том числе и игры, тоже показывают далеко не все, что устанавливают на жесткий диск. Однако эта скрытность прозрачна — достаточно в свойствах папки установить флажок «Показывать скрытые файлы», и вам откроется все. А вот до спрятанного руткитом так просто не добраться. Более того, без специальных программ вы даже не узнаете, что на вашем компьютере что-то спрятано. И это уже большая проблема, поскольку открывает широкие возможности для любых злоупотреблений этим незнанием. И, между прочим, речь идет не только о хакерах.
Не так давно руткиты стали причиной громкого скандала вокруг мегакорпорации Sony. В один ненастный осенний день Марк Руссинович (несмотря на фамилию, не русский, а вовсе даже американец) сидел дома и по обыкновению возился со своей новой программой (в Сети много полезного софта за его авторством). Марк следил за последними достижениями хакерской мысли, и его программа — RootkitRevealer (доступна для свободного скачивания по адресу http://download.sysinternals.com/Files/RootkitRevealer.zip) — как раз предназначалась для поиска вражеских «засланцев» и хитро спрятанных ими посторонних файлов.
По Сети бродят упорные слухи, что руткиты существуют не только под Windows, но под ОС Symbian для смартфонов. Доказательств нам обнаружить не удалось.
Тестовый запуск прервался совершенно неожиданным образом. Марк обнаружил на своем компьютере самый настоящий руткит! Его удивлению не было предела. Он не имел порочных связей в ХХХ-контенте, не скачивал сомнительных файлов — в общем, не был завсегдатаем интернет-помоек, где отзывчивые товарищи всегда готовы бесплатно поделиться последней партией дурно пахнущих отбросов. Тем не менее RootkitRevealer недвусмысленно сигнализировал о скрытом драйвере устройства, папке и какой-то программе.
При этом диспетчер задач не выявил никаких запущенных на компьютере подозрительных процессов. Марк предпочел все же поверить собственной программе и не ошибся. После длительных поисков источник был обнаружен. Некоторое время назад он приобрел на Amazon.Com музыкальный CD Get Right With the Man с записью песен братьев Van Zant. А чтобы покупатель не нажился на содержимом этого диска, фирма Sony BMG предусмотрительно поставила на него системы защиты от копирования MediaMax CD-3 и Extended Copy Protection, сделанные по технологии DRM (Digital Rights Management).
Защита позволяла Марку сделать три копии продукта. Как оказалось, основная часть антикопировального механизма была основана на скрытой установке в систему драйвера дополнительного устройства, а также программы, которая это устройство использовала, и папки, куда укладывались файлы. Все это становилось абсолютно невидимым с помощью руткита.
Озабоченный Марк бросился изучать лицензионное соглашение на диске с защитой DRM и нигде не обнаружил никаких упоминаний о возможном вмешательстве в работу операционной системы. Информацией о создании скрытых от пользователя файлов и папок разработчики защиты Sony BMG тоже не поделились. Об этом досадном упущении с их стороны Руссинович немедленно настучал мировой общественности через свой блог (www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html). «Опа, подумаешь, Америку открыл! — воскликнут некоторые. — На то она и система защиты, чтобы ее шестеренки прятались в самых недоступных местах». Все дело в том, каким именно способом они спрятаны.
Ядерная атака
Вставляя лицензионный диск в DVD-привод, никогда нельзя быть уверенным, что вы не заносите на компьютер руткит.
В конце 90-х в одном популярном мультсериале виртуальные 3D-герои боролись с не менее виртуальными мега-злодеями непосредственно внутри операционной системы. Основной целью мультяшных вирусов, троянцев и шпионских программ было какое-то непонятное ядро. Художники изображали его в виде круглого бункера со специальной панелью управления всеми процессами. Если сама система представлялась им как открытый огромный город, по которому ходили странные жители — байты (квадратные, одноглазые прямоугольники с ножками и ручками), то ядро пряталось глубоко под землей, в секретной шахте. Все подступы к ней охранялись мощными защитными механизмами. По представлениям авторов сериала, если зловредные программы доберутся до ядра, то все пропало. Само собой, в мультике этого не случилось. Зато в жизни стало реальным фактом.
Долгое время создание программ, которые будут работать на самом нижнем, самом защищенном уровне операционных систем казалось невозможным. Слишком много трудностей. Нужны специальные знания, часто засекреченные производителями как самая важная часть их капитала. Нужен высокий уровень теоретической подготовки, чтобы воспользоваться этими знаниями. Людей, которые могли бы написать такие программы, совсем немного. Казалось фантастикой, что кто-то из них захочет заниматься подобными глупостями. Тем не менее такие нашлись.
Первым пал Unix. Появился руткит, использующий базовые свойства, на которых основана эта система. Кстати, сам термин (от англ. root и kit) говорит об изначальной связи с Unix (root — корень, ядро этой ОС). «Ядерная» программа в обычном режиме умеет прятать концы за счет изменения функций Windows API (на которых основана работа системы) вроде FindFirstFile /FindNextFile, отвечающих за показ файлов и папок. Они просто перестают замечать то, что нужно спрятать, чем бы вы ни пробовали посмотреть содержимое логических дисков. В защищенном же режиме руткит перехватывает обращения и меняет таблицу системных вызовов. Безопасный режим перестал быть безопасным.
Сколь ни печально, но ни один современный антивирус не увидит руткит на вашем жестком диске. Что и неудивительно — руткиты переписывают свойства API.
Windows имеет специальную базу данных, в которой хранит идентификационные номера всех сервисных служб и указателей на функции драйверов различных устройств. Обычно несанкционированное вмешательство в таблицу заканчивается крахом системы или ее частичной неработоспособностью. Однако руткиты вносят изменения очень аккуратно.
Внешне все остается как прежде — система работает, программы запускаются без задержки. Но на диске уже создана скрытая папка, в которой может оказаться все что угодно — от вируса до шпионской программы. Причем содержимое этой папки нормальному антивирусу так же недоступно, как и самому пользователю компьютера. Ведь для своей работы он тоже использует Windows API!
Руткиты обеспечивают новым вирусам более высокие шансы на выживание. Этим удачным обстоятельством немедленно воспользовались вирусописатели. Почти сразу после появления информации о рутките, который использовала для защиты дисков от копирования компания Sony BMG, в «Лаборатории Касперского» заявили о появлении в Сети хакерской отмычки Backdoor.Win32.Breplibot.b. Распространялась она через спам-рассылку. К письму прикреплялась фальшивая фотография (техника подмены картинок вирусами описывалась нами ранее). Как только юзер пробовал посмотреть рисунок, запускался вредоносный код. Причем первым делом он копировал себя в системный каталог $SYS$DRV.EXE. А именно в папке под таким названием хранились части DRM-защиты фирмы Sony. Если пользователь слушал диски Audio CD Sony, то бэкдор оказывался надежно скрыт от обнаружения любыми доступными методами.
Вот так аукнулось головотяпство Sony. Кстати, у многих профессиональных программистов сразу же возникло несколько любопытных вопросов. Хакер, использовавший руткит, скорее всего сам ничего не открывал. Он просто воспользовался информацией, которую разместил в Сети Марк Руссинович. Так стоило ли рассказывать каждому встречному о своем открытии? С другой стороны, на грязном деле попалась весьма уважаемая компания. Кто даст гарантию, что другие системы защиты дисков от других производителей не используют то же самое? В том числе и на дисках с компьютерными играми? Никаких гарантий у нас нет!
Фальшивые перспективы
На борьбу с новой угрозой брошены лучшие силы, но тем не менее прогнозы неутешительные. Отдельные энтузиасты и специалисты крупных корпораций по производству софта пытаются найти противодействие. Тот же Марк Руссинович, как мы уже говорили, работает над программой по обнаружению руткитов — RootkitRevealer.
Есть и другие утилиты — Avenger (http://swandog46.geekstogo.com/avenger.zip), Helios (http://helios.miel-labs.com/downloads/Helios.zip, утилита требует для установки Net Framework v.2.0.50727), DarkSpy (сетевая версия доступна по адресу www.fyyre.net/
cardmagic/download/darkspy105_en.rar), IceSword (www.xfocus.net/tools/200509/IceSword_en1.12.rar). На наш диск мы эти программы не выкладываем по банальной причине — практически все антивирусы ошибочно видят в них троянцев. Весят утилитки немного, так что если будет желание или необходимость, вы всегда сможете их скачать с сайтов разработчиков.
Однако сотрудникам Microsoft вместе со специалистами Мичиганского университета весной этого года удалось создать принципиально новый руткит, который вообще не поддается обнаружению никакими стандартными способами. Новый монстр получил условное название SubVirt. Он создает монитор виртуальной машины (Virtual Machine Monitor, VMM) и полностью подгребает под себя все запущенные программы. И они прекрасно работают. Но ни одна из них не в состоянии определить, что Windows на самом деле фальшивая. Все как в теории относительности Альберта Эйнштейна — чтобы определить, движется тело или нет, нужно находиться снаружи, а не внутри.
Скорее всего, специалисты что-нибудь придумают для защиты наших компьютеров от руткитов. А пока приходится констатировать тот факт, что мы, обычные пользователи, все больше теряем контроль над своими собственными компьютерами. Поскольку теперь никто не может с уверенностью утверждать, что на его машине нет тайников с сюрпризами.
Что такое руткит – определение и описание
Руткит: определение и описание
Руткит – это тип вредоносных программ, предназначенных для предоставления злоумышленникам доступа к целевому устройству и контроля над ним. Хотя большинство руткитов влияют на работу программного обеспечения и операционную систему, некоторые из них могут также поразить оборудование и прошивку компьютера. Руткиты способны скрывать свое присутствие, но даже в этот период они активны.
Получив несанкционированный доступ к компьютерам, руткиты позволяют киберпреступникам красть личные данные и финансовую информацию, устанавливать вредоносные программы и использовать компьютеры как часть ботнета для рассылки спама и участия в DDoS-атаках (атаках распределенного отказа в обслуживании).
Название «руткит» происходит из операционных систем Unix и Linux, где администратор учетной записи с самыми высокими привилегиями называется «root». Группа приложений, разрешающих несанкционированный доступ к устройству на уровне root или администратора, называется «kit» («набор»).
Что такое руткит?
Руткит – это программа, используемая киберпреступниками для получения контроля над целевым компьютером или сетью. Иногда руткиты представляют собой единую программу, но чаще состоят из набора инструментов, позволяющих злоумышленникам управлять целевым устройством на уровне администратора.
Руткиты устанавливаются на целевые машины несколькими способами:
Руткиты работают поблизости или внутри ядра операционной системы, что дает им возможность отправлять команды компьютеру. Все объекты, использующие операционную систему, являются потенциальной целью для руткитов. С распространением Интернета вещей они могут включать такие объекты, как холодильник или терморегулятор.
Руткиты могут скрывать кейлоггеры, записывающие нажатия клавиш без согласия пользователей. Это позволяет злоумышленникам украсть личную информацию, например, данные кредитной карты или интернет-банка. Руткиты также позволяют злоумышленникам использовать ваш компьютер для запуска DDoS-атак или рассылки спама. Они даже могут отключить или удалить программы безопасности.
Некоторые руткиты используются в законных целях, например, для предоставления удаленной ИТ-поддержки или помощи правоохранительным органам. Однако в основном они используются в злонамеренных целях. Основная опасность руткитов состоит в том, что они могут доставлять на компьютер жертвы различные формы вредоносных программ, позволяющие управлять операционной системой и предоставлять удаленным пользователям права администратора.
Виды руткитов
1. Аппаратные руткиты и руткиты для прошивки
Аппаратные руткиты и руткиты для прошивки могут повлиять на работу жесткого диска, маршрутизатора или BIOS’а системы, то есть на программное обеспечение, установленное на небольшом чипе памяти на материнской плате компьютера. Они нацелены не на операционную систему, а на прошивку устройства, с целью установки вредоносных программ, которые трудно обнаружить. Поскольку руткиты затрагивают работу оборудования, они позволяют злоумышленникам регистрировать нажатия клавиш, а также отслеживать онлайн-активность. Аппаратные руткиты и руткиты для прошивки менее распространены, чем другие типы руткитов, однако они представляют серьезную угрозу сетевой безопасности.
2. Руткиты загрузчика
Механизм загрузчика отвечает за загрузку операционной системы компьютера. При атаке на систему руткиты загрузчика заменяют подлинный загрузчик взломанным. Это активирует руткит еще до полной загрузки операционной системы компьютера.
3. Руткиты памяти
Руткиты памяти скрываются в оперативной памяти компьютера и используют ресурсы компьютера для выполнения вредоносных действий в фоновом режиме. Руткиты памяти влияют на производительность оперативной памяти компьютера. Поскольку руткиты этого типа хранятся только в оперативной памяти компьютера и не внедряют постоянный код, они исчезают при перезагрузке системы. Однако чтобы полностью избавиться от них могут потребоваться дополнительные действия. Из-за короткой продолжительности жизни они не воспринимаются как серьезная угроза.
4. Руткиты приложений
Руткиты приложений заменяют стандартные файлы на компьютере файлами руткитов и даже могут изменить работу стандартных приложений. Эти руткиты поражают приложения Microsoft Office и такие программы как Notepad или Paint. Злоумышленники могут получить доступ к компьютеру при каждом запуске этих приложений. Зараженные приложения по-прежнему работают нормально, поэтому обнаружение руткитов пользователями затруднено. Однако антивирусные программы могут обнаружить руткиты, поскольку они, как и руткиты, работают на прикладном уровне.
5. Руткиты режима ядра
Руткиты режима ядра представляют самую серьезную угрозу, поскольку нацелены на ядро операционной системы. Злоумышленники используют их не только для доступа к файлам на компьютере, но и для изменения функций операционной системы, путем добавления собственного кода.
6. Виртуальные руткиты
Виртуальные руткиты загружаются под операционную систему компьютера. Затем они размещают целевые операционные системы как виртуальную машину, что позволяет перехватывать аппаратные вызовы, выполняемые исходной операционной системой. Этот тип руткита не меняет ядро для нарушения работы операционной системы. Его может быть очень сложно обнаружить.
Примеры руткитов
Stuxnet
Одним из самых известных руткитов в истории является Stuxnet – вредоносный компьютерный червь, обнаруженный в 2010 году и, предположительно, разрабатываемый, начиная с 2005 года. Stuxnet нанес значительный ущерб ядерной программе Ирана. Хотя ни одна из стран не взяла на себя ответственность, считается, что это кибероружие было разработано совместно США и Израилем в рамках совместного проекта, известного как Олимпийские игры.
Другие известные примеры руткитов:
Flame
В 2012 году был обнаружен руткит Flame, используемый, в основном, для кибершпионажа на Ближнем Востоке. Flame, также известный как Flamer, sKyWIper и Skywiper, атакует операционную систему компьютера целиком, что позволяет злоумышленникам отслеживать трафик, делать снимки экрана и записывать аудио, а также регистрировать нажатия клавиш на устройстве. Злоумышленников, стоящих за атакой руткита Flame, обнаружить не удалось, но исследования показывают, что для доступа к зараженным компьютерам они использовали 80 серверов на трех континентах.
Necurs
В 2012 году появился руткит Necurs и, как сообщалось, в том году было обнаружено 83 000 случая заражения этим руткитом. Компания Necurs связана с элитными киберпреступниками в Восточной Европе. Ей присущи техническая сложность и способностью к эволюционированию.
ZeroAccess
В 2011 году эксперты по кибербезопасности обнаружили руткит ZeroAccess – руткит режима ядра, заразивший более 2 миллионов компьютеров по всему миру. Вместо того чтобы напрямую влиять на работу зараженного компьютера, этот руткит загружает и устанавливает на него вредоносные программы, делая его частью всемирного ботнета, используемого для проведения кибератак. Руткит ZeroAccess активно используется в настоящее время.
В 2008 году был впервые обнаружен руткит TDSS. Он похож на руткиты загрузчика, поскольку загружается и запускается на ранних этапах загрузки операционной системы, что затрудняет его обнаружение и удаление.
Как обнаружить руткиты
Обнаружить руткит на компьютере может оказаться непросто, поскольку этот вид вредоносных программ специально разработан для того, чтобы оставаться скрытым. Руткиты также могут отключать программы безопасности, что еще сильнее усложняет их обнаружение. В результате вредоносные программы-руткиты могут оставаться на компьютере в течение длительного времени и нанести значительный ущерб.
Возможные признаки руткитов:
1. Синий экран
Частое появление сообщений об ошибках Windows или синих экранов с белым текстом (иногда называемых «синим экраном смерти»), при этом компьютеру постоянно требуется перезагрузка.
2. Необычное поведение веб-браузера
В браузере могут появляться нераспознанные закладки или происходить перенаправление ссылок.
3. Низкая производительность устройства
Запуск устройства может занять некоторое время, также наблюдается замедление работы или частое зависание. Устройство также может не реагировать на ввод с помощью мыши или клавиатуры.
4. Изменение параметров Windows без разрешения
Это может быть изменение заставки, скрытие панели задач или некорректное отображение даты и времени, при том, что вы ничего не меняли.
5. Веб-страницы работают некорректно
Из-за чрезмерного сетевого трафика наблюдаются прерывания при отображении или некорректная работа веб-страниц и сетевой активности.
Проверка на наличие руткитов – это лучший способ обнаружить заражение руткитами. Проверку может инициировать ваше антивирусное решение. Если вы подозреваете наличие руткита, один из способов обнаружения заражения – выключить компьютер и выполнить проверку из известной чистой системы.
Поведенческий анализ – это еще один метод обнаружения руткитов, при котором вместо поиска самого руткита выполняется анализ и поиск поведения, характерного для руткита. Целевая проверка работает хорошо, если уже известно, что система ведет себя странно, а поведенческий анализ может предупредить о рутките, прежде чем станет ясно, что устройство подверглось атаке.
Как избавиться от руткита
Удаление руткита – это сложный процесс, который обычно требует специальных инструментов, таких как утилита TDSSKiller от «Лаборатории Касперского», позволяющая обнаруживать и удалять руткит TDSS. Иногда единственным способом полностью удалить тщательно спрятанный руткит является удаление операционной системы компьютера с последующим восстановлением с нуля.
Как удалить руткит из Windows
В Windows при удалении обычно запускается проверка. Если имеет место глубокое заражение, единственным способом удаления руткита является переустановка Windows. Лучше сделать это с использованием внешнего носителя, а не средствами встроенного установщика Windows. Некоторые руткиты заражают BIOS; для исправления такого заражения требуется ремонт. Если после ремонта руткит все еще не удален, возможно, потребуется новый компьютер.
Как удалить руткит из Mac
Следите за выходом новых выпусков обновлений для устройств с операционной системой Mac. Обновления для Mac не только добавляют новые функции, но также удаляют вредоносные программы, включая руткиты. В Apple имеются встроенные функции безопасности для защиты от вредоносных программ. Однако в macOS нет известных средств обнаружения руткитов, поэтому, если вы подозреваете наличие руткита на устройстве, необходимо переустановить macOS. Это приведет к удалению большинства приложений и руткитов с устройства. Как описано выше, при поражении руткитом BIOS’а потребуется ремонт, а если руткит останется на устройстве, может потребоваться новое устройство.
Как предотвратить заражение руткитом
Поскольку руткиты могут оказаться опасными и труднообнаружимыми, важно сохранять бдительность при просмотре веб-страниц или загрузке программ. Для минимизации риска заражения руткитами применимы многие меры, используемые для защиты от компьютерных вирусов.
1. Использование комплексных решений кибербезопасности
Рекомендуется обеспечить безопасность устройств, установив комплексное продвинутое антивирусное решение. Kaspersky Total Security обеспечивает всеобъемлющую защиту от киберугроз, а также позволяет выполнять проверку на наличие руткитов.
2. Постоянное обновление системы
Постоянные обновления программного обеспечения необходимы для безопасности и предотвращения заражения вредоносными программами. Рекомендуется регулярно обновлять программы и операционную систему, чтобы избежать атак руткитов, использующих уязвимости.
3. Внимательность к фишинговым атакам
Фишинг – это один из видов атаки социальной инженерии, при которой злоумышленники используют электронную почту, чтобы обманом заставить пользователей предоставить им финансовую информацию или загрузить вредоносные программы, например, руткиты. Чтобы предотвратить проникновение руткитов на компьютер, рекомендуется не открывать подозрительные электронные письма, особенно от неизвестных отправителей. Не следует переходить по ссылкам, доверенность которых вызывает сомнения.
4. Загрузка файлов только из надежных источников
Чтобы предотвратить проникновение руткита на компьютер, рекомендуется соблюдать осторожность при открытии вложений и избегать открытия вложений от неизвестных отправителей. Рекомендуется загружать программное обеспечение только с доверенных сайтов. Не следует игнорировать предупреждения веб-браузера о том, что открываемый веб-сайт небезопасен.
5. Внимательность к поведению или производительности компьютера
Проблемы с поведением компьютера могут указывать на наличие руткитов. Рекомендуется обращать внимание на неожиданные изменения и постараться выяснить их причину.
Руткиты – самые сложные для поиска и удаления вредоносные программы. В связи со сложностью их обнаружения, профилактика является лучшей защитой. Чтобы обеспечить постоянную защиту, держитесь в курсе последних угроз кибербезопасности.