Эффективные способы нахождения и удаления руткитов

Здравствуйте админ, к вам вопрос: Как удалить руткиты? Подозреваю, что у меня в операционной системе завелись подобные зверьки. Месяц назад установил Windows со всеми программами и работал всё это время без антивируса, всё выбирал, какой установить, платный или бесплатный. Короче два месяца обходился тем, что периодически сканировал систему бесплатными антивирусными утилитами и , а теперь вот не могу их запустить, выходят ошибки при запуске. Мало того, теперь не устанавливается, компьютер зависает на половине установки и выходит критическая ошибка, далее синий экран. А вчера провайдер и вовсе отключил мне интернет, сказал, что мой компьютер рассылает спам. Вот такие дела!

На форумах говорят, что если в системе находится руткит, то такую гадость может проделать он. Ему же нужно скрыть деятельность определённой вредоносной программы, которую сразу обнаружит антивирусный сканер или установленный антивирус. Какой программой можно удалить руткит или проще переустановить Windows?

В интернете советуют много чего, непонятно что и выбрать. Например снять жёсткий диск, подключить к другому компьютеру и просканировать его хорошим антивирусом, но у меня только один компьютер (ноутбук). Ещё советуют проверить систему утилитой RootkitRevealer, но она вроде не работает с Windows 7.

Как удалить руткиты

Друзья, в первой части статьи мы узнаем, что такое руткиты и какой вред они могут принести нашей операционной системе. Во второй части, мы с вами удалим руткиты с помощью антивирусного диска от Microsoft - Windows Defender Offline и диска Kaspersky Rescue Disk от «Лаборатории Касперского». В конце статьи, мы удалим руткиты с помощью специально созданных для этих целей бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER.

• Друзья, открою Вам секрет, в настоящее время с руткитами идёт настоящая война, просто это не афишируется и если вам посчастливится словить серьёзный и только что написанный руткит, справиться с ним будет очень нелегко даже профессионалу. Поэтому, не забывайте создавать и не отключайте никогда . Устанавливайте только 64-разрядные Windows 7 или Windows 8, так как в 64-битной операционной системе руткиту сложнее закрепиться.

Что из себя представляет руткит? Руткит – это программа, маскирующая нахождение в операционной системе других вредоносных программ и всё, что относится к ним (процессы, ключи в реестре и так далее), происходит это путём перехвата и модификации низкоуровневых API-функций. Ну а работающая в нашей системе вредоносная программа может сделать много плохих дел, например ваш компьютер станет частью «ботнета» -компьютерной сети, состоящей из большого количества заражённых компьютеров. Злоумышленники могут использовать ресурсы заражённых компьютеров по своему усмотрению (рассылать спам, участвовать в DDoS-атаке на определённые сайты и так далее). Это скорее всего и произошло с компьютером нашего читателя.

Как удалить руткиты при помощи антивирусного диска По моему мнению, очень хорошее оружие от руткитов, да и вообще от всех вирусов, это антивирусный диск. В первую очередь можно использовать антивирусный диск от Microsoft - ,

он специально заточен для поиска и удаления руткитов и практически всех существующих вредоносных программ. Ещё бы я посоветовал антивирусный диск от «Лаборатории Касперского».

Дело в том, что когда вы загружаете ваш компьютер с антивирусного диска и проверяете им заражённую систему, вредоносные программы никак не могут этому воспрепятствовать, так как Windows в это время находится в нерабочем состоянии и соответственно все вирусные, файлы, находящиеся в системе, видны как на ладони, а значит легче обнаруживаются и нейтрализуются.

Как скачать данные антивирусные диски в виде образа, прожечь на болванку, загрузить с них компьютер и удалить руткиты, вы можете прочесть в наших пошаговых статьях, ссылки приведены выше. Как удалить руткиты с помощью бесплатных антивирусных утилит Очень эффективны в борьбе с руткитами несколько бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER. Первая рассматриваемая нами утилита, это TDSSKiller от «Лаборатории Касперского», вторая Dr.Web CureIt и третья AVZ тоже от российских разработчиков антивирусных программ, четвёртая GMER.
Чтобы скачать TDSSKiller, идём по ссылке http://support.kaspersky.ru/5350?el=88446# , жмём «Как вылечить зараженную систему», нажимаем «Скачайте файл TDSSKiller.exe »

Запускаем его, можете обновить программу.

Начать проверку.

TDSSKiller обнаруживает нижеперечисленные подозрительные сервисы или файлы:
Скрытый сервис – скрытый ключ в реестре;
Заблокированный сервис – недоступный ключ в реестре;
Скрытый файл – скрытый файл на диске;
Заблокированный файл - файл на диске невозможно открыть обычным способом;
Подмененный файл - при чтении выходит подменное содержимое файла;

Rootkit.Win32.BackBoot.gen – возможно заражена загрузочная запись MBR.

Если у вас установлена программа Daemon tools, по окончании сканирования программа выдаст такое окно - Подозрительный объект, средняя опасность – Cервис: sptd.

Cервис: sptd является сервисом программы - эмулятора дисковода Daemon tools.
Чтобы точно убедиться в том, что обнаруженный файл не является руткитом или наоборот, скопируйте обнаруженные подозрительные объекты в карантин, выбрав действие Скопировать в карантин , файл при этом не удалится из системы.
Найти карантин можно здесь C:\TDSSKiller_Quarantine
Затем открываем сайт VirusTotal.com , далее жмём Выберите файл, откроется проводник

Идём в карантин и выбираем файл для проверки. Открыть и Проверить.

Как видим, только одна антивирусная компания определила файл sptd.sys как вирус PAK_Generic.009.

Значит скорее всего данный файл вирусом не является и мы с вами это прекрасно знаем. В других, более спорных случаях, вы можете найти информацию в интернете или отправить файлы в Вирусную Лабораторию Касперского. Как удалить руткиты с помощью утилиты Dr.Web CureIt Утилиту Dr.Web CureIt скачиваем по этой ссылке http://www.freedrweb.com/cureit/ , продвигаемся вниз странички и жмём Скачайте бесплатно.

Скачать Dr.Web CureIt с функцией отправки статистики.

Отмечаем пункт "Я принимаю условия Лицензионного Соглашения" и жмём Продолжить.

Сохраняем и запускаем файл Dr.Web CureIt. Возникает окно «Запустить Dr.Web CureIt в режиме усиленной защиты, нажимаем "Отмена". В появившемся окне отмечаем пункт «Я согласен принять участие… Продолжить.

Выбрать объекты для проверки .

Отмечаем пункты Оперативная память и Руткиты и жмём Запустить проверку .

Если руткиты обнаружены не будут, советую вам отметить все пункты и проверить весь ваш компьютер на вирусы, лишним это не будет.

Как удалить руткиты с помощью утилиты AVZ Хорошая и очень быстро работающая антивирусная утилита от Олега Зайцева, быстро найдёт и удалит различные SpyWare и руткиты в вашей операционной системе. Но предупреждаю Вас, программа работает жёстко и иногда может принять за вирус безобидный файл, поэтому перед применением AVZ, создайте . Если AVZ найдёт вредоносный файл, не торопитесь его удалять и прочтите все рекомендации из раздела Советы по лечению ПК http://z-oleg.com/secur/advice/
Переходим по ссылке http://z-oleg.com/secur/avz/download.php , нажимаем Скачать (8.4 Мб, базы от 30.01.2013).

Скачиваем архив программы и разархивируем его. После разархивации заходим в папку с программой и запускаем файл avz.exe .

Отмечаем для проверки диск с операционной системой, обычно C:, ещё отмечаем пункт Выполнить лечение , далее идём в Параметры поиска

и отмечаем пункт Детектировать перехватчики API и RooTkit и нажимаем Пуск , проверка началась.

Как удалить руткиты с помощью утилиты GMER Утилита GMER применяется очень многими пользователями для борьбы с руткитами, утилита на английском, но мы с вами разберёмся. Также основываясь на личном опыте работы с программой, советую вам перед работой создать точку восстановления или сделать бэкап всей операционной системы, если GMER обнаружит серьёзную опасность, может вызвать огонь по своим или применить тактику выжженной земли.
Идём на сайт http://www.gmer.net/ , нажимаем Download.EXE

И скачиваем утилиту, если хотите, можете скачать её в архиве or ZIP archive: gmer.zip (369kB). Не удивляйтесь, что при скачивании утилиты название у неё будет отличным от GMER , например p3f14z2c.exe, делается это специально, так как находящиеся в вашей системе руткиты могут распознать утилиту и вам не удастся её запустить.
Итак, скачали GMER и запускаем её. Сразу после запуска утилиты ваша операционная система зависнет на 5-10 секунд, происходит быстрое сканирование основных системных файлов и процессов.
Отмечаем для сканирования диск C: и нажимаем Scan , начнётся сканирование Windows на предмет нахождения руткитов. Если запустить GMER по умолчанию в режиме «Quick Scan» (быстрое сканирование), произойдёт сканирование основных системных файлов на диске с операционной системой, в первую очередь можете воспользоваться им.

Когда сканирование закончится, программа выдаст вам результат, если руткиты будут найдены, они будут отмечены красным шрифтом. Если вы захотите удалить какой-либо файл, щёлкните на нём правой мышью и выберите в появившемся меню нужное действие.

Итак, продолжим рассматривать приложения, которые могут помочь нам избавиться от руткитов на наших ПК. Предыдущую часть статьи можно .

Sophos Anti-Rootkit

Это довольно компактное приложение для борьбы с руткитами, обладающее простым и понятным интерфейсом (то, чего не хватает «профессиональным» утилитам). Утилита сканирует реестр и критические, по мнению разработчиков, каталоги системы, выявляя скрытые объекты. Sophos Anti-Rootkit требует установки в систему. В отличие от большинства других программ со сходными функциями это приложение предупреждает пользователя о возможности влияния на производительность и работоспособность ОС в случае удаления того или иного конкретного руткита.

При запуске программа предложит нам выбрать, что именно будет сканироваться. Откровенно говоря, лучше сканировать все. Исключение даже одного пункта (системный реестр, запущенные процессы и локальные диски) оставит лазейку для руткитов, окопавшихся в системе. После сканирования из обнаруженных Sophos Anti-Rootkit объектов (туда стабильно попадают модули Symantec Antivirus, Kaspersky Antivirus, драйверы виртуальных CD-ROM и т.п.) нужно выбрать те, которые вы решили удалить, согласившись с тем, что они крайне подозрительны.

Для облегчения принятия решения программа даже дает описания найденных объектов с рядом рекомендаций. Для того, чтобы прочитать его, нужно выделить найденный объект.

Кроме того, приложение дает полный путь к объекту и ряд дополнительной информации в его описании. Можно изучить найденный объект, посмотреть сведения о нем в интернете и только потом принять взвешенное решение. После совершения выбора остается только нажать на кнопку «Clean up checked items».

RootRepeal

Это приложение почему-то довольно редко используют и описывают. Между тем, RootRepeal очень хороший и эффективный инструмент, позволяющий обнаруживать множество вариантов руткитов.

Эта программа портативна, хотя и не так наглядна, как Sophos Anti-Rootkit, однако при приложении минимальных усилий со стороны пользователя способна оказать огромную помощь в обнаружении вредоносного ПО. Однако она не указывает пользователю автоматически, что именно в этом месте сидит руткит, а предоставляет информацию (запущенные процессы, используемые файлы, скрытые процессы, хуки, информация о ядре системы и т.п.), которую пользователю придется проанализировать и оценить самому.

После анализа и обнаружения подозрительных процессов можно отыскать в интернет их описания и, при необходимости, воспользоваться инструментарием RootRepeal для стирания файлов, завершения процессов или редактирования ключей реестра.

AVZ

Последней я оставил хорошо знакомую многим утилиту AVZ - антивирус Зайцева. Это инструмент с огромным количеством функций, который, среди всего прочего, может помочь в борьбе с руткитами. AVZ не требует установки (портативна). Обновляется она достаточно регулярно.

Для выполнения сканирования и обнаружения притаившихся в недрах системы руткитов, нужно выбрать нужный диск или директории в «Области поиска». AVZ прекрасно распознает руткиты, которые можно удалить автоматически или же может принимать решение в каждом отдельном случае (примечание редактора: можно задать в настройках программы варианты действий AVZ в тех или иных случаях) .

Поиск руткитов происходит в AVZ на основании исследования базовых системных библиотек на предмет перехвата их функций, то есть без использования сигнатур. Что ценно в данном приложении, оно может производить корректную блокировку работы ряда возможных противодействий со стороны руткитов. Поэтому сканер утилиты может обнаруживать замаскированные процессы и ключи реестра.

Разумеется, возможны и ложные срабатывания. Поэтому внимательно смотрите, что вы стираете с помощью AVZ. С помощью AVZ возможно также восстановления ряда системных функций после атаки вирусов и руткитов. Это также весьма полезно.

Подводим итоги

Мы рассмотрели ряд программ, которые помогут обнаружить руткиты на компьютерах и ноутбуках. Следует отметить, что большинство коммерческих, да и бесплатных антивирусов обзавелись уже достаточно мощными блоками обнаружения и удаления руткитов. Более того, в ближайшей перспективе я прогнозирую значительное снижение интереса обычных пользователей к антируткитным решениям, так как соответствующие модули антивирусных решений будут улучшаться, а среднему пользователю вовсе нет никакого интереса самому копаться в процессах, драйверах и файлах. Ему интересен быстрый и желательно без лишних усилий результат. Пока традиционные антивирусные программы далеко не эталон в поиске руткитов, для такого рода пользователей я бы рекомендовал Sophos Anti-Rootkit. А вот для сложных случаев все равно придется использовать GMER или AVZ и повышать квалификацию. Эти инструменты еще не скоро окончательно сойдут со сцены.

И рассказывал, что это такое, перечислял основные симптомы заражения и давал рекомендации для обеспечения безопасности компьютера. Если вы не читали ее, обязательно с ней ознакомьтесь. Ведь как говорится, предупрежден – значит вооружен.

Потому как сегодня мы уже будем говорить о том, как удалить руткиты благодаря использованию специальных . Все действия будут выполняться вручную.

Утилиты, рассмотренные ниже абсолютно бесплатны и не конфликтуют с установленным антивирусным ПО. Поэтому смело их используйте. Желательно предварительно загрузившись через безопасный режим.

Kaspersky Rescue Disk

Пожалуй, самым лучшим способом лечения ПК является использование загрузочных антивирусных дисков. Связано это с тем, что при загрузке с такого диска вирусы будут неактивны, а значит их можно будет легко найти и обезвредить.

Аварийный диск от Касперского показал хорошую эффективность в восстановлении работоспособности компьютера после заражения самыми разными угрозами. Поэтому, если у вас есть подозрение на заражение ПК вредоносным ПО, обязательно его используйте.

Dr.Web Live Disk

Своеобразный аналог предыдущей утилиты от Касперского. Используется для восстановления системы после заражения вирусами. Ему практически нет равных в поиске и удалении руткитов.

Live Disk полностью бесплатен, можно записать как на флешку, так и на диск. Процедура записи будет аналогична по сравнению с Live CD от Касперского.

Dr.Web Cureit

Данная утилита работает прямо из-под системы Windows. Не так давно я уже рассказывал о ее использовании в статье, посвященной .

Она бесплатная, поэтому, ее достаточно скачать с официального сайта и запустить процесс сканирования. По завершению процесса вы увидите подробный отчет с имеющимися руткитами, отметьте угрозы галочками и удалите их.

Кстати, Доктор Веб нередко находит угрозу в файле hosts с уведомлением « ». Лечить которую, нужно не во всех случаях.

Kaspersky Virus Removal Tool

Еще одна программа от разработчиков антивируса Касперского. Ее также можно использовать для поиска и удаления как руткитов, так и любого другого вредоносного ПО. По своим возможностям утилита схожа с Cureit, но немного уступает ей в плане эффективности (говорю по личному опыту). Поэтому могу порекомендовать брать ее на вооружение только в качестве дополнительного средства.

Она весьма проста в использовании. Чтобы начать с ней работать, нужно:

Остается только дождаться завершения проверки и удалить найденные угрозы.

AVZ

Весьма эффективная программа для обнаружения и удаления руткитов, троянов, шпионского ПО и прочих угроз. Главными плюсами AVZ являются высокая результативность и регулярное обновление баз. В общем, обойти ее стороной никак нельзя.

Чтобы начать ей пользоваться, нужно:

По окончании очистки компьютера вы можете закрыть окно утилиты.

TDSSKiller

Программа TDSSKiller изначально была разработана для поиска руткитов и троянов различных модификаций. Ее любезно и на бесплатной основе предоставляют нам разработчики Касперского. Поэтому скачать утилиту можно с официального сайта .

Запустить проверку на руткиты с ее помощью достаточно просто:

Дождитесь завершения сканирования и удалите найденные rootkit вирусы.

Malwarebytes Anti-Rootkit

Широко известная компания разработчик антивирусного ПО «Malwarebytes» предоставляет своим пользователям отличный инструмент для поиска руткитов. Программа портативна и не конфликтует с установленными антивирусами.

Как ей пользоваться:

На этом процедура очистки от вирусов rootkit будет завершена.

Trend Micro RootkitBuster

Еще одна бесплатная программа, созданная специально для борьбы с вирусами типа Rootkit. Выполняет тщательную проверку системы на наличие опасного ПО и удаляет его.

Разберем процесс очистки более подробно:

После этого можно закрывать окно утилиты.

Sophos Anti-Rootkit

Популярная программа, используемая для поиска скрытых в системе руткитов. И, пожалуй, это единственная утилита из рассмотренных выше, которую нужно устанавливать. Но это однозначно стоит сделать, поскольку результативность «Sophos Anti-Rootkit» очень высока.

Для начала работы с утилитой нужно:

Как вы видите, все предельно просто.

Если вам удалось найти и избавиться от вирусов, это значит, что статья удалась, если же нет и ваш случай уникален, можете описать его в комментариях, помогу, чем смогу.

Обзор программ для удаления руткитов

Бороться с руткитами сложно по причине их маскировки под другие вполне благонадежные программы и неактивности пока пользователь не откроет определенный файл, в котором и прячется руткит. Для удаления руткитов созданы специальные утилиты, которые помогают выявить эти вредоносные программы.

Программа Gmer

Gmer, это небольшая утилита, при помощи произвести удаление руткитов . Утилита просканирует все процессы, службы, реестр, файлы и в случае подозрения на обнаружения вредоносной программы даст знать пользователю. Программа не требует установки и имеет очень простой интерфейс, чтобы приступить к поиску руткитов необходимо в верхней панели выбрать вкладку Rootkit и нажать "Scan". Во время поиска программа будет писать лог прямо в окне программы, процессы и файлы будут отображаться в двух цветах. Черным цветом будут отображаться файлы, программы и процессы, которые вызывают подозрение у Gmer, но это могут быть, как и руткиты, так и вполне благонадежные программы. Особое внимание нужно уделить процессам и файлам, которые отмечены красным цветом, именно в них Gmer обнаружил следы деятельности руткитов и именно эти файлы необходимо уничтожить.

Программа SdFix

Бесплатная, но эффективная утилита для удаления руткитов . Кроме руткитов она успешно справляется с поиском и других шпионских программ, которые проникли на ваш компьютер: троянов, бэкдоров, ирцботов и кейллогеров. Программа запускается даже с флешки, сама обнаруживает и уничтожает шпионское ПО, единственное, перед удалением не забудьте сделать копию реестра, чтобы в случае удаления важных файлов, не потерять систему. Копию реестра можно сделать программой ERUNT.

Программа UnHackMe 5

Еще одна программа, которая легко произведет поиск и удаление руткитов . Утилита очень проста в использовании, не требует установки, запускается на любом съемном носителе, от CD-ROM до флешки.

Программа TDSSKiller

Бесплатная и еще другой разной заразы, быстро просканирует ваш компьютер на наличие шпионских программ, и если вы разрешите, очистит от них вашу систему. После удаления руткитов компьютер обязательно следует перегрузить. Программа имеет очень простой интерфейс на русском языке.

Чтобы защититься от руткитов, нужно знать, как они могут попасть на ваш компьютер, основных путей несколько. Самыми распространенным является попадание через вложения, которые приходят с электронной почтой. Тестовые вложения содержат руткиты, которые, активизируются после того как пользователь открывает файл. Также руткиты попадают на компьютер через зараженные web-страницы, используя уязвимости в веб-обозревателях, поэтому старайтесь использовать самые последние версии браузеров, в которых найденные дыры в безопасности разработчики стараются закрыть.

Опасность руткитов заключается еще и в том, что для их создания созданы уже «конструкторы», основой для которых служит Pinch Builder Trojan. При помощи такого «конструктора» любой злоумышленник может создать свой руткит, невидимый для обычных антивирусов.

При внедрении в систему он сможет красть пароли, вводимые через браузер или набранные на клавиатуре.

Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу... И жить спокойно.

Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать хакерские атаки невиданной ранее мощности. В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ - руткиты

Что такое руткиты?

Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки - незаметно для антивирусов и других защитных программ захватить чужой компьютер. У таких руткитов, как Hacker Defender , в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать «замаскированных вредителей» (см. врезку на стр. ??) и использовать их по своему усмотрению. Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.

Хитрости руткитов

Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.

Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек - *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.

«Захват власти » руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.

Как маскируются руткиты?

Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам - характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя». Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения - этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его - уничтожить.

Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»

Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.

Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные

Как распространяются руткиты?

• Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
• Еще один путь распространения - подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров

«Самодельные» руткиты

Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»... Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:

• красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
• считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
• скрывать свои вредоносные функции - программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».

Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».

Как избавиться от руткитов?

Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.

Обобщение результатов тестирования

Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».

Распознавание руткитов

В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.

Удаление руткитов

Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.

Слишком сложное управление

То, что обнаружение скрытого вредоносного «софта» - дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя...

Итог

К нашей радости, победитель теста - Gmer 1.0 - и второй призер, AVG Anti-Rootkit , обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И Gmer , и AVG Anti-Rootkit удаляют большую часть найденных «вредителей», но все-таки не всех... Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».