Как удалить руткиты. Что такое руткиты. Программы для удаления руткитов

Привет друзья, сейчас я Вам на простом примере из жизни объясню что такое руткиты . Один раз, ко мне за помощью обратился мой знакомый, проблема была в том, что ему отказал в обслуживании провайдер интернета за так называемый (broadcast) трафик или простыми словами - флуд. Что интересно, мой приятель и понятия не имел что это такое и как с этим бороться. Оператор провайдера просто сообщил моему товарищу что он распространяет broadcast пакеты всем пользователям сети со скоростью 7000-9000 пакетов в минуту и этим понижает общую пропускную способность сети. Операционная система у моего приятеля была Windows XP.

Что такое broadcast трафик? Это пакеты информации, предназначенные всем компьютерам сети. В обычном режиме один компьютер в сети рассылает в минуту 15 таких пакетов, компьютер же моего друга рассылал 9000 пакетов в минуту и его просто отключили от сети посоветовав переустановить драйвер на сетевой адаптер или полностью операционную систему. И на самом деле, причиной появления таких пакетов является неисправный драйвер сетевого адаптер, сам сетевой адаптер, с ошибками работающая винда или... вирусы!

Переустановка драйвера ничего не дала, также не помогла установка нового сетевого адаптера в разъём PCI, а вот переустановка Windows принесла свои плоды ровно на два дня, затем моего приятеля опять отключили от мира за тот же самый флуд.

Что делать? Первым делом я решил проверить компьютер на вирусы, результат оказался отрицательным и я ничего не нашёл, в конце концов я решил проверить Windows XP с помощью проверенной утилитки RootkitRevealer от Марка Руссиновича, данная утилита не удаляет руткиты, а только обнаруживает их и она нашла несколько руткитов!

Примечание: RootkitRevealer не работает в 64-битных операционных системах, также не советую запускать её в Windows 7, 8, 10, работайте лучше с программами: .

Пришлось отсоединять жёсткий диск моего друга и подсоединять его к своему компьютеру вторым, затем сканировать его диск C: утилитой TDSSKiller, которая и жахнула эти руткиты. Но руткиты сами не распространяют broadcast пакеты, они только скрывают негодяя, который это делает. После проверки жёсткого диска моего приятеля своим антивирусом я нашёл несколько червей, именно они и "долбились" по сети рассылая broadcast или multicast пакеты пытаясь пробить брешь в других компьютерах в сети и заразить их. Чем больше компьютеров заразишь, тем лучше, ведь получится Ботнет - состоящий из множества компьютеров, который можно использовать для DOS-атаки на любой ресурс в сети.

Позже мы установили как именно попали руткиты на компьютер моего друга - через взломанную компьютерную игрушку, которую мой приятель скачал на открытом ресурсе.

Что такое руткиты

Согласно классификации некоторых разработчиков антивирусных программных продуктов, руткиты (rootkits) не являются отдельным типом вредоносного ПО, а представляют собой более совершенствованный тип . В то же время, если трояны, как правило, маскируются под полезные программы, то руткиты прячутся более профессионально – с глубоким внедрением в систему.

Существуют даже руткиты уровня ядра, они заменяют часть кода ядра операционной системы, внедрённый руткитом модифицируемый код скрывает в себе программу способную удалённо управлять заражённым компьютером.

Другие руткиты добавляют свой код к распространённым библиотекам или драйверам, но не нарушают их основной функции.

Современные версии руткитов умеют прятать от пользователя папки, файлы, параметры системного реестра, работающие процессы приложений, системные службы, драйвера, сетевые соединения. Принцип их работы базируется на модификации данных и программного кода в памяти системы. Для чего всё это делается ?

Основные цели руткитов

Руткит (rootkit) сам по себе не опасен, и, опять же, сам по себе не является вредоносной программой – он не размножается, как , как они же, не уничтожает пользовательские данные и компьютерную технику. Руткиты не стремятся заразить через сеть другие компьютер, проникнув в один из них, как это делают . Задача руткита – скрыть действия другой вредоносной программы, которая орудует на компьютере. Руткит – это такой себе пособник преступника. А вот действия уже преступника – самой вредоносной программы, например, вируса, трояна или – могут иметь последствия различной степени опасности. Это может быть и предоставление мошеннику доступа к компьютеру, и слежка за действиями пользователя, и кража его конфиденциальных данных, и прочие весьма неприятные вещи, на которые способно вредоносное ПО.

Например руткит может послужить вспомогательным инструментом для внедрения в операционную систему трояна Backdoor (чёрный ход), основная задача которого – скрытное и полное управление заражённым компьютером превращающимся в настоящее "зомби", такой компьютер абсолютно не служит своему хозяину, а работает только на злоумышленников участвуя в различных DOS - атаках на определённые сетевые ресурсы.

Руткиты не всегда внедряются в систему не санкционировано. Разработчики иногда легально внедряют руткиты в полезные программы, не забыв при этом «побеспокоиться» о том, чтобы пользователь разрешил их установку вместе с основной программой.

Ещё одним отличием руткитов от прочего типа вредоносного ПО является возможность внедрения не только в Windows, но также и в Linux, которая считается безопасной операционной системой отчасти по той простой причине, что пока массово разработчики вирусов и троянов не особо заинтересованы в её пользовательской аудитории. Правда, руткиту внедриться в Linux намного сложнее, нежели в Windows.

Признаки наличия в системе руткита

Внедрённый в систему руткит может быть причиной подвисания маломощного компьютера. Но это, акцентирую, только теоретическая возможность того, что в компьютер проник руткит, ведь причин слабеньких устройств может быть очень много.

Другой признак возможного наличия в системе руткита – это отправка данных по сети при условии, что все программы и системные службы, взаимодействующие с сетью, не активны. Опять же, это не самый надёжный способ диагностики, поскольку руткиты, как правило, работают очень аккуратно, и в момент отправки им данных с компьютера ещё нужно суметь попасть.

Очевидных каких-то признаков, характерных именно для руткитов, увы, нет. о наличии в компьютере руткитов скажут гораздо больше, нежели внешние признаки.

Как избавиться от руткитов?

Друзья, лучший способ обнаружить руткит, это сканировать антивирусом жёсткий диск с заражённой Windows из другой операционной системы, например снять винчестер и подсоединить его к другому компьютеру вторым устройством (как сделал я) или использовать антивирусный загрузочный диск. Подробно о том, как избавиться от руткитов,

Руткиты – более опасны, чем вирусы?

Времена, когда компьютерный вирус считался самым главным вредителем, давно канули в лету.

Сегодня существуют гораздо более опасные вредоносные приложения, так называемые руткиты, которые создаются хакерами для установки удаленного доступа к вашему компьютеру. Губительная сила руткитов в их неуязвимости для антивирусных программ и повсеместном распространении.

Что делает руткит?

В обход брандмауэра руткит создает «черный ход» через тайные лазейки в Интернет, который позволяет создавать удаленное подключение, устанавливать дополнительные модули, воровать сохраненные на компьютере пароли, сканировать банковские реквизиты пластиковых карт, отключать антивирусные приложения, то есть — управлять компьютером, насколько подскажет фантазия.

Для чего используют руткиты?

Хакеры используют руткиты для получения дистанционного контроля для создания зомби-сетей, огромная вычислительная способность которых позволяет осуществлять DDoS-атаки невиданной мощности, производить массовые рассылки спама и получать конфиденциальные данные – пароли, адресные книги и файлы.

Как руткит попадает в компьютер?

В основном, руткиты проникают в систему так же, как и обычные вирусы – через присоединенные в спаме файлы, через флешки, а также через уязвимости в браузерах и плагинах. Часто флешка с руткитом подбрасывается потенциальной жертве.

После проникновения в компьютер руткит пробирается глубоко в систему, подменяя один из файлов библиотек *.dll, получает привилегированное положение в системе, оставаясь незамеченным для антивирусных программ, устанавливает дополнительные приложения, которые предоставляют неограниченный доступ компьютеру жертвы.

Почему же антивирусные программы не находят руткит?

Антивирусные программы определяют вредоносный софт по так называемым сигнатурам – особым цепочкам кода, которые содержатся в теле вируса, либо по особенностям его поведения. Особенность руткитов в том, что они манипулируют процессами обмена потоков данных между программами, в том числе и антивирусными, подменяя и удаляя данные о себе. Таким образом, антивирус получает информацию, что «все ОК, угроз не обнаружено».

Как удалить руткиты?

Обнаружить скрытый вредоносный код – очень серьезная задача, и обычному антивирусу с ней не справиться. Для этого нужно применять особые программы, которые написаны специально для таких целей.

На сегодняшний день наиболее эффективные бесплатные программы для обнаружения руткитов — и AVG Anti-Roorkit. Каждая из них удаляет максимальное количество замаскированных вредителей. Наилучшего эффекта можно достигнуть, используя оба эти приложения. Другие же программы показывают при тестировании неудовлетворительные результаты.

В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей представляют руткиты. С помощью данного инструмента злоумышленники получают контроль над компьютерами и затем используют их для своих целей.

Что такое руткиты и чем они опасны? Руткит – это программа или набор программных средств, который маскирует присутствие нежелательных приложений в операционной системе, помогая атакующим действовать на компьютерах своих жертв, при этом оставаясь незамеченными. Зачастую руткиты находятся глубоко в недрах системы и обнаружить их при помощи антивируса или других средств безопасности очень не просто. Сами по себе руткиты не всегда опасны, в отличие от программ и процессов, которые они скрывают. В сравнении с вирусами, руткиты могут нанести гораздо больший ущерб, т.к. получают доступ к системе с правами администратора. Они могут содержать различные вредоносные инструменты, такие как клавиатурный шпион (кейлоггер), вор сохраненных паролей, сканер данных о банковских карточках, дистанционно управляемый бот для осуществления DDoS-атак, а также функции для отключения антивирусных программ.

Как удалить руткит

Kaspersky TDSSKiller. Бесплатная утилита TDSSKiller от Лаборатории Касперского предназначена для лечения системы, зараженной вредоносными программами семейства Rootkit.Win32.TDSS, буткитами и другими известными руткитами. Она быстра в работе и не требует установки.

Чтобы бесплатно скачать TDSSKiller переходим на официальный сайт support.kaspersky.ru

После запуска программы можно сразу запустить проверку или добавить объекты для сканирования. Для этого следует перейти во вкладку “Изменить параметры проверки” и установить галочки у необходимых пунктов.

Dr.Web CureIt. С помощью данной утилиты можно проверить компьютер не только на наличие руткитов, но и на другие вредоносные объекты с последующим лечением. Программа Dr.Web CureIt бесплатна и не требует установки.

После сканирования следует выделить обнаруженные объекты (предварительно внимательно их изучив!) и нажать кнопочку «Clean up checked items» для их удаления.

В описании найденных объектов программа предложит вам свои рекомендации на счет их удаления. Для этого следует выделить найденный объект. Так, запись в строке Removable «Yes (but clean up is not recommended for this file)» означает, что Sophos Anti-Rootkit без труда сможет удалить этот объект, но его удаление не рекомендуется, т.к. это дружественная программа или модуль, который не приносит никакого вреда системе. Такие объекты можно смело пропускать. Если же вы все-таки решите их удалить, Sophos Anti-Rootkit предупредит о возможных проблемах с операционной системой. Стоит еще раз подумать и … нажать кнопку «Отмена».

Кроме того, Sophos Anti-Rootkit в описании каждого объекта покажет полный путь к нему и дополнительную информацию. Но утилита может этого и не сделать. Самое разумное в этом случае - открыть папку с файлом или ветвь реестра и внимательно изучить найденный Sophos Anti-Rootkit объект со всех сторон: посмотреть его свойства, поискать информацию о нем в интернете и т.п.

Следующая программа на рассмотрении это:

Также бесплатная утилита для извлечения руткитов из системы, работающая без предварительно установки в Windows XP. Скачать Rootkit Buster можно с официального сайта разработчика - компании Trend Micro: http://www.trendmicro.com/download/rbuster.asp.

Для того чтобы начать сканирование просто распакуйте архив и запустите файл Rootkit Buster.exe, затем в окне утилиты нажмите кнопку «Scan Now». При этом Rootkit Buster проверит загрузочную запись MBR и скрытые файлы, реестр, процессы и драйвера.

Если вы достаточно хорошо знаете свой компьютер, то можете отметить последний пункт «File Streams» («Файловые потоки»), но предупреждаю сразу, что в этом случае программа обязательно что-то да найдет и в основном это безобидные объекты. Тем не менее, среди них могут попасться и вредоносные, поэтому важно отличать «овец от волков». По завершении сканирования вы увидите список найденных объектов. Любой из них можно выделить и удалить нажатием кнопки «Delete Selected Items». В моем случае программа ничего не нашла, что очень порадовало.

Утилита отечественных разработчиков, которая кроме обнаружения руткитов имеет огромное число разных, очень полезных функций, помогающих в борьбе с вирусами. Загрузить AVZ можно с официального сайта: http://www.z-oleg.com/secur/avz/. Утилита не требует установки, регулярно обновляется и будет прекрасным дополнением к установленному в системе антивирусу.

Для того чтобы начать сканирование компьютера на предмет руткитов и другой заразы выберите нужный диск или папку (папки) в Области поиска.

При сканировании программа автоматически будет детектировать руткиты. Если же вы хотите, чтобы вместе с руткитами под нож пошли троянские, рекламные и прочие вредоносные программы, в разделе «Методика лечения» отметьте галочкой пункт «Выполнять лечение» и выберите действие для каждого типа вредоносной программы. Рекомендую выбрать «Спросить у пользователя».

Итак, приготовления завершены. Смело нажимайте кнопку «Пуск» и подождите некоторое время, пока AVZ проверит систему.

Если программа нашла какие-либо перехватываемые функции и выдала вам имя файла-перехватчика, внимательно к нему присмотритесь. Это может быть ваш межсетевой экран, антивирус и другие мирные программы, а может быть и руткит. Поэтому в случае подозрения на руткит лучше обратиться в конференцию к разработчикам: http://virusinfo.info.

Мы рассмотрели специализированные утилиты, которые помогают выявлять и бороться с вирусами типа «руткит». В заключении стоит предупредить, о том, что даже используя описанные программы нет 100% гарантий полной защиты, как впрочем, и использование любых других антивирусных программ. Следует признать, что обезопасить компьютер от вирусов возможно, соблюдая так сказать гигиену в операционной системе, и программах используемых на компьютере, стоит почаще делать к резервные копии данных, если они для вас особо важны.

При постоянной работе в интернет обязательно иметь установленную антивирусную программу с ежедневно обновляемыми антивирусными базами. И не переходить на незнакомые ссылки в интернете, чтобы избежать случайного заражение трояном, руткитом, или поймать столь популярный в наше время «порно баннер» требующий отправить смс и оплатить через терминал N-ную сумму…

Компьютерным вирусом можно назвать программу, которая скрытно работает и наносит вред всей системе или какой-то отдельной ее части. Каждый второй программист сталкивался с данной проблемой. Не осталось уже ни одного пользователя ПК, который не знал бы, что такое

Виды компьютерных вирусов:

1. Черви. Это программы, которые захламляют систему путём постоянного размножения, копирования самих себя. Чем больше их в системе, тем медленнее она работает. Червь никак не может слиться с любой безопасной программой. Он существует в виде самостоятельного файла(ов).
2. сливаются с безвредными и маскируются в них. Они не наносят никакого ущерба компьютеру, пока пользователь не запустит файл, в котором находится троян. Эти вирусы используются для удаления и изменения данных.
3. Шпионские программы занимаются сбором информации. Их цель - обнаружить коды, пароли и передать тому, кто создал их и запустил в интернет, проще говоря - хозяину.
4. Зомби-вирусы дают возможность хакеру контролировать заражённый компьютер. Пользователь может вообще не знать, что его ПК заражен и кто-то его использует.
5. Блокирующие программы не дают возможности вообще войти в систему.

Что такое руткит?

Руткит - это одна или несколько программ, которые скрывают присутствие нежелательных приложений на компьютере, помогая злоумышленникам действовать незаметно. Он содержит в себе абсолютно весь набор функций вредоносного ПО. Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит - это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.

Другими словами, руткит - это приложение, которое отвечает за перехват системных функций. Для операционной системы Windows можно выделить такие популярные руткиты: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.

Разновидности

Существует несколько вариантов этих вирусных программ. Их можно разделить на две категории: user-mode (пользовательские) и kernel-mode (руткиты уровня ядра). Утилиты первой категории имеют те же возможности, что и обычные приложения, которые можно запустить на устройстве. Они могут использовать память уже запущенных программ. Это наиболее популярный вариант. Руткиты второй категории находятся глубоко в системе и имеют полный доступ к компьютеру. Если такая программа установлена, то хакер может делать с атакованным устройством практически все, что хочет. Руткиты такого уровня гораздо сложнее создать, поэтому первая категория и пользуется большей популярностью. Но вирусную программу уровня ядра совсем непросто найти и удалить, и защита от компьютерных вирусов зачастую здесь абсолютно бессильна.

Существуют и другие, более редкие варианты руткитов. Называют эти программы буткитами. Суть их работы заключается в том, что они получают контроль над устройством задолго до запуска системы. Совсем недавно были созданы руткиты, атакующие Android-смартфоны. Хакерские технологии развиваются так же, как лецинзионное ПО - идут в ногу со временем.

Самодельные руткиты

Огромное количество зараженных компьютеров находятся в так называемой зомби-сети и используются для того, чтобы рассылать спам-сообщения. При этом пользователи этих ПК ничего не подозревают о такой «деятельности». До сегодняшнего дня было принято думать, что создавать упомянутые сети могут лишь профессиональные программисты. Но совсем скоро все может кардинально измениться. В сети реально найти всё больше инструментов для создания вирусных программ. Например, при помощи набора под названием Pinch можно легко создать руткит. Основой для этого вредоносного ПО будет Pinch Builder Trojan, который можно дополнить различными функциями. Это приложение с лёгкостью сможет считывать пароли в браузерах, распознавать вводимые данные и отправлять их аферистам, а также ловко прятать свои функции.

Способы заражения устройства

Изначально руткиты внедряются в систему точно так же, как и другие вирусные программы. При уязвимости плагина или браузера попасть на компьютер для приложения не составит никакого труда. Часто для этих целей используют флеш-накопители. Иногда хакеры просто бросают флешки в местах скопления людей, где человек может забрать зараженное устройство с собой. Так на компьютер жертвы попадает руткит. Это приводит к тому, что приложение использует слабые стороны системы и с легкостью получает доминирующее положение в ней. Затем программа проводит установку вспомогательных компонентов, которые используются для управления компьютером на расстоянии.

Фишинг

Нередко система заражается посредством фишинга. Существует большая возможность попадания кода на компьютер в процессе скачивания нелицензированных игр и программ. Очень часто его маскируют под файл, который называется Readme. Никогда нельзя забывать об опасности софта и игр, скачиваемых с непроверенных сайтов. Чаще всего пользователь запускает руткит самостоятельно, после чего программа сразу же прячет все признаки своей деятельности, и обнаружить ее потом очень непросто.

Почему руткит тяжело обнаружить?

Эта программа занимается перехватом данных различных приложений. Иногда антивирус засекает эти действия сразу. Но зачастую, когда устройство уже подвергнуто заражению, вирус с лёгкостью прячет всю информацию о состоянии компьютера, при этом следы деятельности уже исчезли, а сведения обо всём вредном софте удалены. Очевидно, что в такой ситуации у антивируса нет возможности найти какие-либо признаки руткита и попытаться устранить его. Но, как показывает практика, способны сдержать такие атаки. А компании, которые занимаются производством защитного ПО, регулярно обновляют продукцию и добавляют в неё необходимую информацию о новых уязвимостях.

Поиск руткитов на компьютере

Для поиска этих можно использовать различные утилиты, специально созданные для этих целей. Неплохо справляется с этой задачей "Антивирус Касперского". Следует просто проверять устройство на наличие всякого рода уязвимостей и вредоносных программ. Такая проверка очень важна для защиты системы от вирусов, в том числе и от руткитов. При помощи сканирования обнаруживается вредоносный код, который не смогла засечь защита от нежелательных программ. Вдобавок поиск помогает найти уязвимые места операционной системы, через которые злоумышленники могут заниматься распространением вредоносных программ и объектов. Вы ищете подходящую защиту? Вам вполне подойдет "Касперский". Руткит можно обнаружить, просто включив периодический поиск этих вирусов в вашей системе.

Для более детального поиска подобных приложений необходимо настроить антивирус на проверку работы важнейших файлов системы на самом низком уровне. Также очень важно гарантировать высокий уровень самозащиты антивируса, так как руткит может запросто вывести его из строя.

Проверка накопителей

Для того чтобы быть уверенным в безопасности компьютера, необходимо проверять при включении все переносные накопители. Руткиты могут легко проникнуть в вашу операционную систему через съемные диски, флешки. "Антивирус Касперского" подвергает моноторингу абсолютно все съемные при подключении их к устройству. Для этого нужно просто настроить проверку накопителей и обязательно следить за обновлением вашего антивируса.

Удаление руткита

В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки - полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.

Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты. Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей. Более того, эта программа способна удалять более простые руткиты посредством функции лечения.

Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант - ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.