Что такое руткит? Как работают руткиты? Объяснение руткитов.

Хотя можно скрыть вредоносное ПО таким образом, чтобы обмануть даже традиционные антивирусные / антишпионские продукты, большинство вредоносных программ уже используют руткиты, чтобы глубоко спрятаться на вашем ПК с Windows… и они становятся все более опасными! Руткит DL3 — один из самых продвинутых руткитов, когда-либо существовавших в мире. Руткит был стабильным и мог заразить 32-битные операционные системы Windows; хотя для установки заразы в систему потребовались права администратора. Но TDL3 теперь обновлен и теперь может заражать даже 64-битные версии Windows!

Что такое руткит

вирус

Вирус Rootkit — это вредоносное ПО скрытого типа, предназначенное для того, чтобы скрыть существование определенных процессов или программ на вашем компьютере от обычных методов обнаружения, чтобы предоставить ему или другому вредоносному процессу привилегированный доступ к вашему компьютеру.

Руткиты для Windows обычно используются для сокрытия вредоносного ПО, например, от антивирусной программы. Он используется в злонамеренных целях вирусами, червями, бэкдорами и шпионским ПО. Вирус в сочетании с руткитом производит так называемые полностью скрытые вирусы. Руткиты более распространены в области шпионского ПО, и теперь они также все чаще используются авторами вирусов.

В настоящее время они представляют собой новый тип супер-шпионского ПО, которое эффективно скрывает и напрямую влияет на ядро ​​операционной системы. Они используются, чтобы скрыть присутствие на вашем компьютере вредоносных объектов, таких как трояны или клавиатурные шпионы. Если угроза использует технологию руткитов для сокрытия, очень сложно найти вредоносное ПО на вашем компьютере.

Сами по себе руткиты не опасны. Их единственная цель — скрыть программное обеспечение и следы, оставленные в операционной системе. Будь то обычное программное обеспечение или вредоносные программы.

Существует три основных типа руткитов. Первый тип, «Руткиты ядра», обычно добавляют свой собственный код к частям ядра операционной системы, тогда как второй тип, «Руткиты пользовательского режима» специально предназначены для Windows, чтобы нормально запускаться во время запуска системы. или вводится в систему с помощью так называемой «капельницы». Третий тип — руткиты или буткиты MBR.

Когда вы обнаружите, что ваш AntiVirus & AntiSpyware дает сбой, вам может потребоваться помощь хорошей Anti-Rootkit Utility. Руткит от Microsoft Sysinternals — это расширенная служебная программа для обнаружения руткитов. В его выводе перечислены несоответствия API реестра и файловой системы, которые могут указывать на наличие руткита пользовательского режима или режима ядра.

Отчет Microsoft Malware Protection Center об угрозах для руткитов

Центр защиты от вредоносных программ Microsoft предоставил для загрузки отчет об угрозах для руткитов. В отчете рассматривается один из наиболее коварных типов вредоносных программ, угрожающих организациям и отдельным лицам сегодня, — руткит. В отчете исследуется, как злоумышленники используют руткиты и как руткиты работают на пораженных компьютерах. Вот суть отчета, начиная с того, что такое руткиты — для новичка.

Руткит — это набор инструментов, которые злоумышленник или создатель вредоносного ПО использует для получения контроля над любой незащищенной / незащищенной системой, которая в противном случае обычно зарезервирована для системного администратора. В последние годы термин «ROOTKIT» или «ROOTKIT FUNCTIONALITY» был заменен вредоносным ПО — программой, предназначенной для оказания нежелательного воздействия на работоспособный компьютер. Основная функция вредоносного ПО — тайно извлекать ценные данные и другие ресурсы с компьютера пользователя и предоставлять их злоумышленнику, тем самым давая ему полный контроль над скомпрометированным компьютером. Более того, их трудно обнаружить и удалить, и они могут оставаться скрытыми в течение длительных периодов времени, возможно, лет, если останутся незамеченными.

Поэтому, естественно, симптомы взломанного компьютера необходимо замаскировать и принять во внимание, прежде чем результат окажется фатальным. В частности, следует принять более строгие меры безопасности, чтобы раскрыть атаку. Но, как уже упоминалось, после установки этих руткитов / вредоносных программ их скрытые возможности затрудняют их удаление и их компоненты, которые они могут загрузить. По этой причине Microsoft создала отчет о ROOTKITS.

Отчет на 16 страницах описывает, как злоумышленник использует руткиты и как эти руткиты работают на пораженных компьютерах.

Единственная цель отчета — выявить и тщательно изучить мощные вредоносные программы, угрожающие многим организациям, в частности пользователям компьютеров. В нем также упоминаются некоторые из распространенных семейств вредоносных программ и освещается метод, который злоумышленники используют для установки этих руткитов в своих корыстных целях в исправных системах. В оставшейся части отчета вы найдете экспертов, дающих некоторые рекомендации, которые помогут пользователям снизить угрозу, исходящую от руткитов.

Типы руткитов

Есть много мест, где вредоносное ПО может установить себя в операционную систему. Таким образом, в основном тип руткита определяется его местоположением, в котором он выполняет подрыв пути выполнения. Это включает:

  1. Руткиты пользовательского режима
  2. Руткиты режима ядра
  3. MBR руткиты / буткиты

Возможный эффект взлома руткита в режиме ядра показан на снимке экрана ниже.

Третий тип, модифицируйте основную загрузочную запись, чтобы получить контроль над системой и начать процесс загрузки с самой ранней возможной точки в последовательности загрузки3. Он скрывает файлы, изменения реестра, доказательства сетевых подключений, а также другие возможные индикаторы, которые могут указывать на его присутствие.

Известные семейства вредоносных программ, использующие функции руткитов

  • Win32 / Sinowal13 — многокомпонентное семейство вредоносных программ, которые пытаются украсть конфиденциальные данные, такие как имена пользователей и пароли для различных систем. Это включает попытки украсть данные аутентификации для различных учетных записей FTP, HTTP и электронной почты, а также учетные данные, используемые для онлайн-банкинга и других финансовых транзакций.
  • Win32 / Cutwail15 — троянец, скачивающий и запускающий произвольные файлы. Загруженные файлы могут быть выполнены с диска или введены непосредственно в другие процессы. Хотя функциональность загружаемых файлов варьируется, Cutwail обычно загружает другие компоненты, рассылающие спам. Он использует руткит режима ядра и устанавливает несколько драйверов устройств, чтобы скрыть свои компоненты от затронутых пользователей.
  • Win32 / Rustock — многокомпонентное семейство троянцев-бэкдоров с поддержкой руткитов, первоначально разработанных для помощи в распространении «спамовой» электронной почты через ботнет. Ботнет — это большая сеть скомпрометированных компьютеров, контролируемая злоумышленником.

Защита от руткитов

Предотвращение установки руткитов — самый эффективный способ избежать заражения руткитами. Для этого необходимо инвестировать в защитные технологии, такие как антивирусы и брандмауэры. Такие продукты должны использовать комплексный подход к защите с использованием традиционного обнаружения на основе сигнатур, эвристического обнаружения, динамических и отзывчивых возможностей сигнатур и мониторинга поведения.

Все эти наборы сигнатур следует поддерживать в актуальном состоянии с помощью механизма автоматического обновления. Антивирусные решения Microsoft включают ряд технологий, разработанных специально для защиты от руткитов, в том числе мониторинг поведения ядра в реальном времени, который обнаруживает и сообщает о попытках изменить ядро ​​уязвимой системы, а также прямой синтаксический анализ файловой системы, который облегчает идентификацию и удаление скрытых драйверов.

Если система будет обнаружена скомпрометированной, может оказаться полезным дополнительный инструмент, позволяющий загрузиться в заведомо исправной или надежной среде, поскольку он может предложить некоторые соответствующие меры по исправлению положения.

При таких обстоятельствах

  1. Средство автономной проверки системы (часть набора средств диагностики и восстановления Microsoft (DaRT))
  2. Автономный Защитник Windows может быть полезен.

Для получения дополнительной информации вы можете скачать отчет в формате PDF с сайта Центр загрузки Майкрософт.

Значок WindowsClub .

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *