Злоумышленники в нынешнем мире не ограничиваются простым обманом и уже не пользуются устаревшими вредоносными вирусами для атаки на компьютер, чтобы только взломать его и потребовать денежный выкуп. Сейчас их цель — получить полный контроль над электронным устройством. Управление компьютером дает доступ хакерам к личным данным, кодам, паролям, они могут также рассылать спам от имени пользователя и многое другое. Инструментом для такого захвата компьютера служат, так называемые, руткиты.
Руткит (англ. rootkit, то есть «набор root-а») — одна или набор нескольких программ, с помощью которых можно:
- управлять чужим компьютером удаленно;
- маскировать вредоносные объекты;
- собирать личные данные пользователя.
Основной проблемой при борьбе с этими паразитами – сложность их обнаружения и удаления. Они прячут свои файлы и ключи от антивирусных и других сканирующих программ
Итак, rootkit – это программа для скрытия следов преступления хакеров или вредоносных кодов в ОС.
Чем опасны руткиты для компьютера
Руткиты не считаются вирусами. Сами по себе они не заражают компьютер и не причиняют вреда ему и его файлам. По сути, это коды для маскировки вирусов и вредоносных программ, приложений и файлов.
Эти коды маскируют определенный ключ реестра, который в свою очередь уже и запускает тот вредоносный объект, опасный для ПК. Таким образом, руткиты увеличивают продолжительность его влияния на компьютер.
Эти маскирующие руткиты трудны в обнаружении. Они используют хитрые схемы скрыть свое местоположение. Также они могут прятаться в системе на уровне ядра или замаскироваться под полезное программное обеспечение или приложение.
Руткиты относятся к программам с высоким уровнем риска для ПО и плохо поддаются удалению. Они могут быть опасны не только для стационарного компьютера и ноутбука, но и для IoT (сеть передачи данных между «вещами»).
Хакеры используют руткиты в целях:
- Получить доступ к системе (backdoor – англ. черный ход) и контролировать ее. В данном случае руткит используется как шлюз для взлома ПК с последующим получение его учетных записей, паролей, кодов, личных данных.
- Заразить ПК вирусными программным обеспечением. Такое ПО маскируется с помощью руткита и внедряется в ОС.
- Контролировать антивирусные и другие сканирующие программы, чтобы распространить вредоносные объекты в системе.
Реже руткиты используются для добрых целей. Например, для поиска хакерских атак, мониторинга украденных ноутбуков или защиты ПО.
Виды руткитов
Руткиты могут обосноваться как внутри операционной системы компьютера, так и вредить вне ее.
Вне операционные руткиты — это вид программно-аппаратных кодов, которые работают на ступень выше любой ОС. Они устанавливаются в механизм ПО аппаратной виртуализации.
Руткиты, внедряющиеся внутрь операционной системы классифицируются следующим образом:
по уровню привилегий:
- Руткиты, внедряющиеся в систему на правах пользователя, иногда администратора (User Level)
Цель — украсть личные данные или использовать ПК для хакерских атак.
- Руткиты уровня ядра (Kernel Level)
Встречаются реже, самые сложные в обнаружении. Могут присутствовать на компьютере годами. Они внедряются в ОС с правами суперадминистратора (root доступ).
по принципу действий:
- Руткиты, манипулирующие объектами ядра ОС (Direct kernel object manipulation)
Они внедряются в ядро ОС и модифицируют его. Разные части руткитов взаимодействуют друг с другом. Таким образом, появляется система внутри системы.
- Руткиты, модифицирующие пути исполнения (Modify execution path)
Эти коды изменяют алгоритм работы системных функций.
Источники заражения руткитами
Как и другие вирусы, черви, трояны и вредоносные программы, на компьютер руткиты попадают с зараженных флешек, непроверенных ссылок в интернете, с электронными письмами от незнакомцев и т.д. Но источник содержит только часть кода внедрения руткита. После попадания в систему, он уже скачивает недостающую часть из интернета. Когда код руткита соберется в полном составе, он заработает и будет делать то, для чего создан.
Способы внедрения руткитов в операционные системы:
- через непроверенные устройства, например, USB-флешки или внешние жесткие диски
- при посещении опасных сайтов
- при маскировке под надежные программы
- по почте рассылаются файлы с начальным кодом руткита и пр.
Для заражения ПК руткитами достаточно минимального файла. Код с него спрячется внутри ОС и загрузит руткит полностью. Затем начнет находить слабые места системы и совершать вредоносные действия.
Методы обнаружения руткитов в системе
С точки зрения обнаружения, руткиты относятся к высокотехнологичным кодам. Они спрятаны без явных признаков наличия в системе. Его не видят многие антивирусные и сканирующие программы. В идеале, конечно, они должны перехватить подозрительные сигналы о передаче информации разных приложений ПК и выявлять наличие руткита сразу. Но, чаще руткиты заражают компьютер, оставаясь не замеченными, и стирает следы своей деятельности. Антивирусник в таких условиях не выявляет вредоносный объект, и, соответственно, не пытается его устранить.
Признаки, указывающие на присутствие руткита в ОС:
- Периодическое зависание работы ПК
Разные действия руткита влияют на нагрузку операционной системы. Если при работе на компьютере запущено малое количество программ и приложений, и ПК зависает по неоправданным причинам, возможно, в систему внедрился руткит.
- Пересылка сообщений по интернету при деактивированных приложениях, отвечающих за данный процесс
Руткиты часто управляются хакерами вручную и те производят свои действия в определенное подходящее время, не постоянно. Поэтому определить этот факт достаточно сложно.
Важно: Обратите внимание, если ваш интернет провайдер отказывает вам в предоставлении услуг. Уточните, не связано ли это с массовой рассылкой флуда («broadcast» трафик) с ПК. Например, с вашего IP адреса пользователям интернета отправлялось 5000 и больше сообщений в минуту (норма до 20 шт.). Вероятно, в операционной системе ПК присутствует руткит.
Основные симптомы, что в системе появился руткит:
- Исчезновение конфиденциальной личной информации с ПК
- Неподтвержденный доступ к страницам соц. сетей, почте и другим сервисам
- Блокировка (полная или частичная) доступа к ПК
- Медлительная работа устройства
- Беспричинное увеличение расхода оперативной памяти в ожидающем режиме
- Снижение качества интернет связи
Если вы заметили один или несколько таких симптомов, проведите полную проверку своего устройства на наличие руткитов.
Как бороться с руткитами
Руткиты сложны в обнаружении и устранении. Но, есть антивирусные программы, которые способны сдерживать их атаки. Компании, разрабатывающие защитные ПО, постоянно анализирую новые руткиты и обновляют свои продукты.
Средства обнаружения и удаления руткитов
Самостоятельно обнаружить и удалить руткиты практически невозможны. IT-компаниями разработаны специальные программы и приложения.
ТОП-10 утилит для обнаружения и удаления руткитов:
- Kaspersky TDSSKiller
- RkUnhooker
- Panda Anti-Rootkit
- RogueKiller Anti-malware
- Dr.Web Cureit
- SUPERAntiSpyware 10.0.1214 Free
- GMER и RootRepeal
- Eset SysInspector
- Malwarebytes Anti-Rootkit
- Avast Anti-Rootkit
На сайтах специализированных компаний есть возможность скачать и установить эти утилиты по поиску и устранению вредоносных руткитов.
Как избежать заражения руткитами
Болезнь лучше предупредить, чем лечить. Соблюдение определенных правил снизит риск заражения системы компьютера руткитами.
Основные методы профилактики:
- Своевременно обновлять ОС и ПО компьютера
- Избегать подозрительные сайты
- Игнорировать электронные спам
- Не подключать к компьютеру непроверенные устройства
- не скачивать и не устанавливать программы, файлы и прочие объекты из неизвестных источников
- Не открывать подозрительные ссылки
- Установить на ПК комплексную антивирусную программу и регулярно сканировать свой компьютер на наличие руткитов
Важно: Разработчики некоторых программ умышленно внедряют руткиты в свои продукты. Это прописывается в лицензионном соглашении. Но читают этот документ не многие.
