Главная Статьи Безопасность Руткиты: как удалить то, что не видно
Руткиты: как удалить то, что не видно
18.02.2010 02:25

В последнее время мы наблюдаем ужасающую картину: несмотря на постоянно обновляемые антивирусы, компьютеры пользователей все больше и больше поглощают вредоносные программы. И не последнюю роль в этом вопиющем безобразии играют руткиты. В том, что это за звери и как с ними бороться мы попробуем разобраться в нашей сегодняшней статье.

{mosloadposition debug}
Довольно типичная ситуация: компьютер ведет себя как-то не так. В автозагрузке чисто, процессы в порядке, антивирус ничего не находит, однако вас не покидает мысль, что система нездорова. В лучшем случае вы увидите присутствие вирусов воочию, в худшем – даже не заметите, как с вашего ПК рассылают спам, крадут пароли, атакуют сайты или делают другие, не особо приятные любому пользователю, вещи.

Кто помогает вирусам прятаться на вашем компьютере? В некоторых случаях это вредоносные программы особого рода – руткиты. Не будем особо мудрить и обратимся к Википедии для разъяснения данного термина.

Итак, руткит (rootkit) – это программа (набор программ) для скрытия следов присутствия злоумышленника или вредоносного кода в операционной системе. Установив руткит на ваш компьютер, хакер получает над ним полный контроль, может удаленно управлять компьютером и загружать на него другие вредоносные программы. Естественно, все это он делает не вручную под покровом ночи, а пользуясь различными командами, утилитами и т.п.

Более того, основная задача руткита – не допустить обнаружения данных действий хозяином компьютера, скрыть от пользователя присутствие хакера и изменений в системе. Руткит прячет от ваших глаз вредоносные процессы, системные службы, драйвера, сетевые соединения, ключи реестра и записи автозагрузки, модули, папки, файлы и, конечно же, прячет сам себя. В общем, ситуация не из приятных, и ваш компьютер уже совершенно вам не принадлежит.

Сам термин «руткит» берет свое начало из операционных систем семейства Unix. Именно для них были написаны руткиты, которые хакеры устанавливали на компьютеры сразу после получения прав суперпользователя (root-a, отсюда и название rootkit). Уточню, что суперпользователь в Unix – это то же самое, что Администратор в Windows. Руткиты были необходимы, поскольку все действия в Unix системах, как и в современном Linux, выполнялись от имени обычного пользователя, не имеющего прав на какое-либо критическое изменение состояния системы. Таким образом, руткит позволял злоумышленнику полностью завладеть ОС и полноправно властвовать над системой.

Сравнительно недавно, в конце прошлого века, появились руткиты и под операционную систему Windows. Поскольку на тот момент ни один антивирус их не опознавал, перед руткитами открывалась заманчивая перспектива. Однако в скором времени они были обнаружены и потихоньку крупные антивирусные компании и производители систем защиты начали добавлять функционал по обнаружению руткитов в свои решения.

На сегодняшний день существует множество антивирусов и специализированных программ, позволяющих обнаружить и нейтрализовать руткиты. Информацию о том, умеет ли ваш антивирус отлавливать и обезвреживать руткиты, вы всегда можете найти на официальном сайте его разработчиков.

 

Sophos Anti-Rootkit

 


Небольшая утилита, умеющая бороться с руткитами, которая работает, как на Windows XP, так и на Vista. Sophos Anti-Rootkit сканирует реестр и критические каталоги системы и выявляет скрытые объекты, то бишь руткитов.

Скачать Sophos Anti-Rootkit можно с официального сайта разработчиков http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html. Правда для этого вам придется заполнить небольшую анкету.

Программа привычным образом устанавливается на компьютер и обладает интуитивно понятным интерфейсом. Прежде всего, вам необходимо задать объекты, которые должна обнаружить утилита.

  

1.png


После сканирования следует выделить обнаруженные объекты (предварительно внимательно их изучив!) и нажать кнопочку «Clean up checked items» для их удаления.

2.png

 

В описании найденных объектов программа предложит вам свои рекомендации на счет их удаления. Для этого следует выделить найденный объект. Так, запись в строке Removable «Yes (but clean up is not recommended for this file)» означает, что Sophos Anti-Rootkit без труда сможет удалить этот объект, но его удаление не рекомендуется, т.к. это дружественная программа или модуль, который не приносит никакого вреда системе. Такие объекты можно смело пропускать. Если же вы все-таки решите их удалить, Sophos Anti-Rootkit предупредит о возможных проблемах с операционной системой. Стоит еще раз подумать и … нажать кнопку «Отмена».

3.png



Кроме того, Sophos Anti-Rootkit в описании каждого объекта покажет полный путь к нему и дополнительную информацию. Но утилита может этого и не сделать. Самое разумное в этом случае – открыть папку с файлом или ветвь реестра и внимательно изучить найденный Sophos Anti-Rootkit объект со всех сторон: посмотреть его свойства, поискать информацию о нем в интернете и т.п.

Rootkit Buster



Следующая бесплатная утилита для выковыривания руткитов из системы, которая работает без установки в Windows XP и более поздних версиях этой ОС. Скачать Rootkit Buster можно с официального сайта разработчика – компании Trend Micro: http://www.trendmicro.com/download/rbuster.asp.

Для того чтобы начать сканирование просто распакуйте архив и запустите файл Rootkit Buster.exe, затем в окне утилиты нажмите кнопку «Scan Now». При этом Rootkit Buster проверит загрузочную запись MBR и скрытые файлы, реестр, процессы и драйвера.

4.png



Если вы достаточно хорошо знаете свой компьютер, то можете отметить последний пункт «File Streams» («Файловые потоки»), но предупреждаю сразу, что в этом случае программа обязательно что-то да найдет и в основном это безобидные объекты. Тем не менее, среди них могут попасться и вредоносные, поэтому важно отличать «овец от волков». По завершении сканирования вы увидите список найденных объектов. Любой из них можно выделить и удалить нажатием кнопки «Delete Selected Items». В моем случае программа ничего не нашла, что очень порадовало.

AVZ



Утилита отечественных разработчиков, которая кроме обнаружения руткитов имеет огромное число различных функций, полезных в борьбе с вирусами. Загрузить AVZ можно с официального сайта: http://www.z-oleg.com/secur/avz/. Утилита не требует установки, регулярно обновляется и будет прекрасным дополнением к установленному в системе антивирусу.

Для того чтобы начать сканирование компьютера на предмет руткитов и другой заразы выберите нужный диск или папку (папки) в Области поиска.

 

5.png



При сканировании программа автоматически будет детектировать руткиты. Если же вы хотите, чтобы вместе с руткитами под нож пошли троянские, рекламные и прочие вредоносные программы, в разделе «Методика лечения» отметьте галочкой пункт «Выполнять лечение» и выберите действие для каждого типа вредоносной программы. Рекомендую выбрать «Спросить у пользователя».

6.png



Итак, приготовления завершены. Смело нажимайте кнопку «Пуск» и подождите некоторое время, пока AVZ проверит систему.

7.png



Если программа нашла какие-либо перехватываемые функции и выдала вам имя файла-перехватчика, внимательно к нему присмотритесь. Это может быть ваш межсетевой экран, антивирус и другие мирные программы, а может быть и руткит. Поэтому в случае подозрения на руткит лучше обратиться в конференцию к разработчикам: http://virusinfo.info.

Итак, мы рассмотрели специализированные утилиты, которые позволяют бороться с руткитами. В заключении хотим предупредить, что даже использование указанных программ не гарантирует полной защиты, как впрочем, и использование любых других антивирусных программ. Следует признать, что обезопасить компьютер от вирусов мы не в силах, поэтому стоит почаще прибегать к резервному копированию данных, не устанавливать на свой компьютер что попало, а также на всякий случай иметь в ящике стола установочный диск с Windows, дабы в любое время можно было переустановить операционную систему. Одним из вариантов навсегда забыть о вирусах является установка на компьютер ОС Linux хотя бы второй системой и хотя бы для работы в интернете, но это уже другая история.

 

Специально для Ячайник, Елена Карлтон

{mosloadposition cpanel}

{mosloadposition debug}

Комментарии (1)Добавить комментарий
MZ
...
Автор: MZ, Июль 31, 2011
ЭЭЭэээээх "отличайте "волков от овец"- да как их отличить-тоsmilies/sad.gif академий мы не кончали

Написать комментарий
Вы должны авторизоваться, чтобы добавлять комментарии. Пожалуйста, зарегистрируйтесь.

busy

Похожие новости:
Новые материалы на эту тему:
Также рекомендуем к прочтению:

Обновлено 12.02.2011 23:02
 


В NV Print можно купить картридж для принтера любой марки

nvprint.ru