Что такое руткит? Как работают руткиты? Объяснение руткитов.

Хотя можно скрыть вредоносное ПО так, что оно обманет даже традиционные антивирусные и антишпионские продукты, большинство вредоносных программ уже используют руткиты, чтобы глубоко спрятаться на вашем ПК с Windows … и они становятся все более опасными! Руткит DL3(DL3) — один из самых передовых руткитов, когда-либо встречавшихся в дикой природе. Руткит был стабилен и мог заражать 32-битные операционные системы Windows ; хотя для установки заразы в систему нужны были права администратора. Но теперь TDL3 обновился и теперь способен заражать даже 64-битные версии Windows(even 64-bit versions  Windows) !

Что такое руткит

вирус

Вирус-руткит — это скрытое вредоносное ПО  , предназначенное для сокрытия существования определенных процессов или программ на вашем компьютере от обычных методов обнаружения, чтобы предоставить ему или другому вредоносному процессу привилегированный доступ к вашему компьютеру.

Руткиты для Windows(Rootkits for Windows) обычно используются для сокрытия вредоносного программного обеспечения, например, от антивирусной программы. Он используется в вредоносных целях вирусами, червями, бэкдорами и шпионскими программами. Вирус в сочетании с руткитом создает так называемые полные стелс-вирусы. Руткиты более распространены в области шпионского ПО, и теперь они также все чаще используются авторами вирусов.

В настоящее время они представляют собой новый тип супершпионского ПО(Super Spyware) , которое эффективно прячется и напрямую влияет на ядро ​​операционной системы. Они используются, чтобы скрыть присутствие вредоносных объектов, таких как трояны или кейлоггеры, на вашем компьютере. Если для сокрытия угроза использует технологию руткитов, найти вредоносное ПО на вашем ПК очень сложно.

Сами по себе руткиты не опасны. Их единственная цель — скрыть программное обеспечение и следы, оставленные в операционной системе. Будь то обычное программное обеспечение или вредоносные программы.

Существует три основных типа руткитов(Rootkit) . Первый тип, « руткиты ядра(Kernel Rootkits) », обычно добавляет свой собственный код к частям ядра операционной системы, тогда как второй тип, « руткиты пользовательского режима(User-mode Rootkits) », специально предназначены для Windows , чтобы нормально запускаться во время запуска системы. или вводят в систему так называемой «капельницей». Третий тип — MBR Rootkits или Bootkits(MBR Rootkits or Bootkits) .

Когда вы обнаружите, что ваш AntiVirus & AntiSpyware не работает, вам может понадобиться помощь хорошей утилиты Anti-Rootkit(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer от Microsoft Sysinternals — это расширенная утилита для обнаружения руткитов. В его выходных данных перечислены несоответствия API реестра(Registry) и файловой системы , которые могут указывать на наличие руткита режима пользователя или режима ядра.

Отчет(Microsoft Malware Protection Center Threat Report) об  угрозах Центра защиты от вредоносных программ Майкрософт о руткитах(Rootkits)

Центр защиты от вредоносных программ Майкрософт(Microsoft Malware Protection Center) сделал доступным для загрузки отчет(Threat Report) об угрозах руткитов(Rootkits) . В отчете рассматривается один из самых коварных типов вредоносных программ, угрожающих сегодня организациям и отдельным лицам, — руткиты. В отчете рассматривается, как злоумышленники используют руткиты и как руткиты работают на зараженных компьютерах. Вот суть отчета, начиная с того, что такое руткиты(Rootkits) — для новичков.

Руткит(Rootkit) — это набор инструментов, которые злоумышленник или создатель вредоносного ПО использует для получения контроля над любой открытой/незащищенной системой, которая в противном случае обычно предназначена для системного администратора. В последние годы термин «РУТКИТ» или «ФУНКЦИОНАЛЬНОСТЬ РУТКИТА» был заменен на ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ —(MALWARE –) программа, предназначенная для оказания нежелательного воздействия на работоспособный компьютер. Основная функция вредоносного ПО — тайно извлекать ценные данные и другие ресурсы с компьютера пользователя и предоставлять их злоумышленнику, тем самым предоставляя ему полный контроль над скомпрометированным компьютером. Кроме того, их трудно обнаружить и удалить, и они могут оставаться скрытыми в течение длительного времени, возможно, годами, если их не заметят.

Поэтому, естественно, симптомы взломанного компьютера необходимо замаскировать и принять во внимание, прежде чем результат окажется фатальным. В частности, необходимо принять более строгие меры безопасности для раскрытия атаки. Но, как уже упоминалось, после установки этих руткитов/вредоносных программ их скрытность затрудняет их удаление и их компоненты, которые они могут загрузить. По этой причине Microsoft создал отчет о руткитах(ROOTKITS) .

В 16-страничном отчете описывается, как злоумышленник использует руткиты и как эти руткиты работают на зараженных компьютерах.

Единственной целью отчета является выявление и тщательное изучение потенциально опасных вредоносных программ, угрожающих многим организациям, в частности пользователям компьютеров. В нем также упоминаются некоторые из распространенных семейств вредоносных программ и раскрывается метод, который злоумышленники используют для установки этих руткитов в своих корыстных целях на исправные системы. В оставшейся части отчета вы найдете рекомендации экспертов, которые помогут пользователям уменьшить угрозу со стороны руткитов.

Типы руткитов

Есть много мест, где вредоносное ПО может установить себя в операционную систему. Таким образом, в основном тип руткита определяется его местонахождением, где он выполняет подрыв пути выполнения. Это включает:

  1. Руткиты пользовательского режима
  2. Руткиты режима ядра
  3. MBR-руткиты/буткиты

Возможный эффект компрометации руткита в режиме ядра показан на снимке экрана ниже.

Третий тип — изменить основную загрузочную запись(Master Boot Record) , чтобы получить контроль над системой и начать процесс загрузки с самого раннего возможного момента в последовательности загрузки3. Он скрывает файлы, изменения реестра, свидетельства сетевых подключений, а также другие возможные индикаторы, которые могут указывать на его присутствие.

Известные семейства вредоносных программ(Malware) , использующие функции руткитов(Rootkit)

  • Win32/Sinowal 13 — многокомпонентное семейство вредоносных программ, которые пытаются украсть конфиденциальные данные, такие как имена пользователей и пароли для различных систем. Это включает в себя попытку кражи данных аутентификации для различных учетных записей FTP , HTTP и электронной почты, а также учетных данных, используемых для онлайн-банкинга и других финансовых транзакций.
  • Win32/Cutwail 15 — троянец(Trojan) , загружающий и запускающий произвольные файлы. Загруженные файлы могут выполняться с диска или внедряться непосредственно в другие процессы. В то время как функциональность загружаемых файлов может быть разной, Cutwail обычно загружает другие компоненты, рассылающие спам. Он использует руткит режима ядра и устанавливает несколько драйверов устройств, чтобы скрыть свои компоненты от уязвимых пользователей.
  • Win32/Rustock  — многокомпонентное семейство троянов(Trojans) -бэкдоров с поддержкой руткитов, первоначально разработанных для помощи в распространении «спама» через ботнет(botnet) . Ботнет — это большая сеть взломанных компьютеров, контролируемая злоумышленниками.

Защита от руткитов

Предотвращение установки руткитов — наиболее эффективный способ избежать заражения руткитами. Для этого необходимо инвестировать в защитные технологии, такие как антивирусы и брандмауэры. В таких продуктах должен использоваться комплексный подход к защите с использованием традиционного обнаружения на основе сигнатур, эвристического обнаружения, динамических и чувствительных возможностей сигнатур и мониторинга поведения.

Все эти наборы сигнатур следует поддерживать в актуальном состоянии с помощью автоматического механизма обновления. Антивирусные решения Майкрософт(Microsoft) включают в себя ряд технологий, разработанных специально для противодействия руткитам, в том числе мониторинг поведения ядра в реальном времени, который обнаруживает и сообщает о попытках изменить ядро ​​​​уязвимой системы, а также прямой анализ файловой системы, который облегчает идентификацию и удаление скрытых драйверов.

Если система обнаружена скомпрометированной, может оказаться полезным дополнительный инструмент, позволяющий загрузиться в заведомо исправную или надежную среду, поскольку он может предложить некоторые соответствующие меры по исправлению.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

При таких обстоятельствах

  1. Автономный инструмент System Sweeper(Standalone System Sweeper) (часть набора средств диагностики(Diagnostics) и восстановления (Recovery Toolset)Microsoft ( DaRT )
  2. Автономный Защитник(Defender Offline) Windows может быть полезен.

Для получения дополнительной информации вы можете загрузить отчет в формате PDF из (PDF)Центра загрузки Майкрософт.(Microsoft Download Center.)



About the author

Я компьютерный техник с более чем 10-летним опытом, в том числе 3 года в качестве 店員. У меня есть опыт работы с устройствами Apple и Android, и я особенно хорошо разбираюсь в ремонте и обновлении компьютеров. Я также люблю смотреть фильмы на своем компьютере и использовать свой iPhone для съемки фотографий и видео.



Related posts