Τι κάνουν τα rootkits; Διανομή και μεταμφίεση rootkit. Πρόγραμμα αφαίρεσης rootkit Kaspersky TDSSKiller από την ομώνυμη εταιρεία

Ένας ιός υπολογιστή μπορεί να ονομαστεί ένα πρόγραμμα που λειτουργεί κρυφά και προκαλεί βλάβη σε ολόκληρο το σύστημα ή σε κάποιο μεμονωμένο μέρος του. Κάθε δεύτερος προγραμματιστής έχει αντιμετωπίσει αυτό το πρόβλημα. Δεν υπάρχει ούτε ένας χρήστης υπολογιστή που να μην ξέρει τι

Τύποι ιών υπολογιστών:

1. Σκουλήκια. Πρόκειται για προγράμματα που ακαταστάζουν το σύστημα αναπαράγοντας και αντιγράφοντας συνεχώς τον εαυτό τους. Όσο περισσότερα από αυτά υπάρχουν στο σύστημα, τόσο πιο αργά λειτουργεί. Δεν υπάρχει περίπτωση να συγχωνευθεί το σκουλήκι με οποιοδήποτε ασφαλές πρόγραμμα. Υπάρχει ως ξεχωριστό(α) αρχείο(α).
2. συγχωνεύονται με αβλαβή και μεταμφιέζονται σε αυτά. Δεν προκαλούν καμία ζημιά στον υπολογιστή έως ότου ο χρήστης εκτελέσει το αρχείο που περιέχει το Trojan. Αυτοί οι ιοί χρησιμοποιούνται για τη διαγραφή και την αλλαγή δεδομένων.
3. Το spyware συλλέγει πληροφορίες. Στόχος τους είναι να ανιχνεύουν κωδικούς και κωδικούς πρόσβασης και να τους μεταφέρουν στο άτομο που τους δημιούργησε και τους κυκλοφόρησε στο Διαδίκτυο, με άλλα λόγια, στον ιδιοκτήτη.
4. Οι ιοί ζόμπι επιτρέπουν σε έναν χάκερ να ελέγχει έναν μολυσμένο υπολογιστή. Ο χρήστης μπορεί να μην γνωρίζει καν ότι ο υπολογιστής του έχει μολυνθεί και κάποιος τον χρησιμοποιεί.
5. Τα προγράμματα αποκλεισμού σάς εμποδίζουν να συνδεθείτε καθόλου στο σύστημα.

Τι είναι το rootkit;

Ένα rootkit είναι ένα ή περισσότερα προγράμματα που κρύβουν την παρουσία ανεπιθύμητων εφαρμογών σε έναν υπολογιστή, βοηθώντας τους εισβολείς να λειτουργούν απαρατήρητα. Περιέχει απολύτως ολόκληρο το σύνολο των λειτουργιών κακόβουλου λογισμικού. Δεδομένου ότι αυτή η εφαρμογή βρίσκεται συχνά βαθιά στα βάθη του συστήματος, είναι εξαιρετικά δύσκολο να εντοπιστεί χρησιμοποιώντας ένα πρόγραμμα προστασίας από ιούς ή άλλα εργαλεία ασφαλείας. Το rootkit είναι ένα σύνολο εργαλείων λογισμικού που μπορούν να διαβάσουν αποθηκευμένους κωδικούς πρόσβασης, να σαρώσουν διάφορα δεδομένα και επίσης να απενεργοποιήσουν την προστασία του υπολογιστή. Επιπλέον, διαθέτει δυνατότητα backdoor, που σημαίνει ότι το πρόγραμμα δίνει στον χάκερ την ευκαιρία να συνδεθεί στον υπολογιστή από απόσταση.

Με άλλα λόγια, ένα rootkit είναι μια εφαρμογή που είναι υπεύθυνη για την παρακολούθηση των λειτουργιών του συστήματος. Για το λειτουργικό σύστημα Windows, μπορούν να αναγνωριστούν τα ακόλουθα δημοφιλή rootkits: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.

ποικιλίες

Υπάρχουν διάφορες παραλλαγές αυτών των προγραμμάτων ιών. Μπορούν να χωριστούν σε δύο κατηγορίες: user-mode (χρήστης) και kernel-mode (rootkits σε επίπεδο πυρήνα). Τα βοηθητικά προγράμματα της πρώτης κατηγορίας έχουν τις ίδιες δυνατότητες με τις κανονικές εφαρμογές που μπορούν να εκτελεστούν στη συσκευή. Μπορούν να χρησιμοποιήσουν τη μνήμη προγραμμάτων που ήδη εκτελούνται. Αυτή είναι η πιο δημοφιλής επιλογή. Τα Rootkit της δεύτερης κατηγορίας βρίσκονται βαθιά μέσα στο σύστημα και έχουν πλήρη πρόσβαση στον υπολογιστή. Εάν εγκατασταθεί ένα τέτοιο πρόγραμμα, τότε ο χάκερ μπορεί να κάνει σχεδόν ό,τι θέλει με τη συσκευή που δέχεται επίθεση. Τα Rootkits αυτού του επιπέδου είναι πολύ πιο δύσκολο να δημιουργηθούν, γι' αυτό και η πρώτη κατηγορία είναι πιο δημοφιλής. Αλλά ένα πρόγραμμα ιών σε επίπεδο πυρήνα δεν είναι καθόλου εύκολο να βρεθεί και να αφαιρεθεί και η προστασία από ιούς υπολογιστών είναι συχνά εντελώς ανίσχυρη εδώ.

Υπάρχουν και άλλες, πιο σπάνιες παραλλαγές rootkit. Αυτά τα προγράμματα ονομάζονται bootkits. Η ουσία της δουλειάς τους είναι ότι αποκτούν τον έλεγχο της συσκευής πολύ πριν ξεκινήσει το σύστημα. Πιο πρόσφατα, έχουν δημιουργηθεί rootkits για επίθεση σε smartphone Android. Οι τεχνολογίες χάκερ αναπτύσσονται με τον ίδιο τρόπο όπως το λογισμικό υπολογιστών - συμβαδίζουν με την εποχή.

Σπιτικά rootkits

Ένας τεράστιος αριθμός μολυσμένων υπολογιστών βρίσκονται στο λεγόμενο δίκτυο ζόμπι και χρησιμοποιούνται για την αποστολή ανεπιθύμητων μηνυμάτων. Ταυτόχρονα, οι χρήστες αυτών των υπολογιστών δεν υποψιάζονται τίποτα για μια τέτοια «δραστηριότητα». Μέχρι σήμερα, ήταν συνηθισμένο να πιστεύουμε ότι μόνο επαγγελματίες προγραμματιστές μπορούσαν να δημιουργήσουν αυτά τα δίκτυα. Όμως πολύ σύντομα όλα θα μπορούσαν να αλλάξουν δραματικά. Μπορείτε πραγματικά να βρείτε όλο και περισσότερα εργαλεία για τη δημιουργία προγραμμάτων ιών στο Διαδίκτυο. Για παράδειγμα, χρησιμοποιώντας ένα κιτ που ονομάζεται Pinch, μπορείτε εύκολα να δημιουργήσετε ένα rootkit. Η βάση για αυτό το κακόβουλο λογισμικό θα είναι το Pinch Builder Trojan, το οποίο μπορεί να βελτιωθεί με διάφορες λειτουργίες. Αυτή η εφαρμογή μπορεί εύκολα να διαβάσει τους κωδικούς πρόσβασης σε προγράμματα περιήγησης, να αναγνωρίσει δεδομένα που έχουν εισαχθεί και να τα στείλει σε απατεώνες και να κρύψει έξυπνα τις λειτουργίες της.

Τρόποι μόλυνσης μιας συσκευής

Αρχικά, τα rootkits εισάγονται στο σύστημα με τον ίδιο τρόπο όπως και άλλα προγράμματα ιών. Εάν ένα πρόσθετο ή ένα πρόγραμμα περιήγησης είναι ευάλωτο, δεν θα είναι δύσκολο για την εφαρμογή να μπει στον υπολογιστή σας. Οι μονάδες flash χρησιμοποιούνται συχνά για αυτούς τους σκοπούς. Μερικές φορές οι χάκερ απλώς αφήνουν μονάδες flash σε πολυσύχναστα μέρη, όπου ένα άτομο μπορεί να πάρει μαζί τους τη μολυσμένη συσκευή. Έτσι μπαίνει ένα rootkit στον υπολογιστή του θύματος. Αυτό οδηγεί στην εφαρμογή να εκμεταλλεύεται τις αδυναμίες του συστήματος και να αποκτά εύκολα κυριαρχία σε αυτό. Στη συνέχεια, το πρόγραμμα εγκαθιστά βοηθητικά στοιχεία που χρησιμοποιούνται για τον έλεγχο του υπολογιστή από απόσταση.

Phishing

Συχνά το σύστημα μολύνεται μέσω phishing. Υπάρχει μεγάλη πιθανότητα να μπει κώδικας στον υπολογιστή σας κατά τη διαδικασία λήψης παιχνιδιών και προγραμμάτων χωρίς άδεια. Πολύ συχνά μεταμφιέζεται σε ένα αρχείο που ονομάζεται Readme. Δεν πρέπει ποτέ να ξεχνάμε τους κινδύνους του λογισμικού και των παιχνιδιών που λαμβάνονται από μη επαληθευμένους ιστότοπους. Τις περισσότερες φορές, ο χρήστης εκκινεί μόνος του ένα rootkit, μετά το οποίο το πρόγραμμα κρύβει αμέσως όλα τα σημάδια της δραστηριότητάς του και είναι πολύ δύσκολο να το εντοπίσει αργότερα.

Γιατί είναι δύσκολο να εντοπιστεί ένα rootkit;

Αυτό το πρόγραμμα παρακολουθεί δεδομένα από διάφορες εφαρμογές. Μερικές φορές το πρόγραμμα προστασίας από ιούς εντοπίζει αυτές τις ενέργειες αμέσως. Αλλά συχνά, όταν η συσκευή έχει ήδη μολυνθεί, ο ιός αποκρύπτει εύκολα όλες τις πληροφορίες σχετικά με την κατάσταση του υπολογιστή, ενώ τα ίχνη δραστηριότητας έχουν ήδη εξαφανιστεί και οι πληροφορίες για όλο το επιβλαβές λογισμικό έχουν διαγραφεί. Προφανώς, σε μια τέτοια κατάσταση, το antivirus δεν έχει τρόπο να βρει σημάδια ενός rootkit και να προσπαθήσει να το εξαλείψει. Όμως, όπως δείχνει η πρακτική, είναι σε θέση να περιορίσουν τέτοιες επιθέσεις. Και οι εταιρείες που παράγουν λογισμικό ασφαλείας ενημερώνουν τακτικά τα προϊόντα τους και προσθέτουν τις απαραίτητες πληροφορίες σχετικά με νέα τρωτά σημεία.

Αναζητήστε rootkits στον υπολογιστή σας

Για να τα βρείτε, μπορείτε να χρησιμοποιήσετε διάφορα βοηθητικά προγράμματα που έχουν δημιουργηθεί ειδικά για αυτούς τους σκοπούς. Το Kaspersky Anti-Virus αντιμετωπίζει καλά αυτήν την εργασία. Θα πρέπει απλώς να ελέγξετε τη συσκευή σας για κάθε είδους ευπάθειες και κακόβουλο λογισμικό. Ένας τέτοιος έλεγχος είναι πολύ σημαντικός για την προστασία του συστήματος από ιούς, συμπεριλαμβανομένων των rootkits. Η σάρωση ανιχνεύει κακόβουλο κώδικα που δεν μπόρεσε να εντοπίσει η προστασία από ανεπιθύμητα προγράμματα. Επιπλέον, η αναζήτηση βοηθά στην εύρεση ευπαθειών του λειτουργικού συστήματος μέσω των οποίων οι εισβολείς μπορούν να διανέμουν κακόβουλα προγράμματα και αντικείμενα. Ψάχνετε για κατάλληλη προστασία; Το Kaspersky είναι αρκετά κατάλληλο για εσάς. Ένα rootkit μπορεί να εντοπιστεί απλά εκτελώντας μια περιοδική αναζήτηση για αυτούς τους ιούς στο σύστημά σας.

Για να αναζητήσετε τέτοιες εφαρμογές με περισσότερες λεπτομέρειες, θα πρέπει να ρυθμίσετε τις παραμέτρους του antivirus ώστε να ελέγχετε τη λειτουργία των πιο σημαντικών αρχείων συστήματος στο χαμηλότερο επίπεδο. Είναι επίσης πολύ σημαντικό να διασφαλιστεί ένα υψηλό επίπεδο αυτοπροστασίας του antivirus, καθώς ένα rootkit μπορεί εύκολα να το απενεργοποιήσει.

Έλεγχος μονάδων δίσκου

Για να βεβαιωθείτε ότι ο υπολογιστής σας είναι ασφαλής, πρέπει να ελέγξετε όλες τις φορητές μονάδες δίσκου όταν τις ενεργοποιείτε. Τα Rootkits μπορούν εύκολα να διεισδύσουν στο λειτουργικό σας σύστημα μέσω αφαιρούμενων δίσκων ή μονάδων flash. Το Kaspersky Anti-Virus παρακολουθεί απολύτως όλες τις αφαιρούμενες συσκευές όταν είναι συνδεδεμένες στη συσκευή. Για να το κάνετε αυτό, πρέπει απλώς να ρυθμίσετε μια σάρωση μονάδας δίσκου και να φροντίσετε να διατηρείτε ενημερωμένο το πρόγραμμα προστασίας από ιούς.

Αφαίρεση ενός rootkit

Υπάρχουν πολλές προκλήσεις στην καταπολέμηση αυτών των κακόβουλων εφαρμογών. Το κύριο πρόβλημα είναι ότι είναι αρκετά επιτυχείς στο να αντιστέκονται στον εντοπισμό κρύβοντας τα κλειδιά μητρώου και όλα τα αρχεία τους με τέτοιο τρόπο που τα προγράμματα προστασίας από ιούς δεν μπορούν να τα βρουν. Υπάρχουν βοηθητικά προγράμματα για την αφαίρεση rootkit. Αυτά τα βοηθητικά προγράμματα δημιουργήθηκαν για την αναζήτηση κακόβουλου λογισμικού χρησιμοποιώντας διάφορες μεθόδους, συμπεριλαμβανομένων άκρως εξειδικευμένων. Μπορείτε να κατεβάσετε ένα αρκετά αποτελεσματικό πρόγραμμα που ονομάζεται Gmer. Θα βοηθήσει στην καταστροφή των περισσότερων γνωστών rootkits. Μπορείτε επίσης να προτείνετε το πρόγραμμα AVZ. Εντοπίζει με επιτυχία σχεδόν οποιοδήποτε rootkit. Πώς να αφαιρέσετε επικίνδυνο λογισμικό χρησιμοποιώντας αυτό το πρόγραμμα; Αυτό δεν είναι δύσκολο: ορίζουμε τις απαραίτητες ρυθμίσεις (το βοηθητικό πρόγραμμα μπορεί είτε να στείλει μολυσμένα αρχεία σε καραντίνα είτε να τα διαγράψει ανεξάρτητα), στη συνέχεια επιλέγουμε τον τύπο σάρωσης - πλήρη παρακολούθηση υπολογιστή ή μερική. Στη συνέχεια εκτελούμε το ίδιο το τεστ και περιμένουμε τα αποτελέσματα.

Το ειδικό πρόγραμμα TDSSkiller καταπολεμά αποτελεσματικά την εφαρμογή TDSS. Το AVG Anti-Rootkit θα σας βοηθήσει να αφαιρέσετε τα υπόλοιπα rootkit. Είναι πολύ σημαντικό μετά τη χρήση τέτοιων βοηθών να ελέγξετε το σύστημα για μόλυνση χρησιμοποιώντας οποιοδήποτε πρόγραμμα προστασίας από ιούς. Το Kaspersky Internet Security θα αντιμετωπίσει τέλεια αυτήν την εργασία. Επιπλέον, αυτό το πρόγραμμα είναι σε θέση να αφαιρεί απλούστερα rootkit μέσω της λειτουργίας απολύμανσής του.

Πρέπει να θυμάστε ότι κατά την αναζήτηση ιών με οποιοδήποτε λογισμικό ασφαλείας, δεν πρέπει να ανοίγετε εφαρμογές ή αρχεία στον υπολογιστή σας. Τότε ο έλεγχος θα είναι πιο αποτελεσματικός. Φυσικά, πρέπει να θυμάστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς. Η ιδανική επιλογή είναι η καθημερινή αυτόματη (ρυθμισμένη στις ρυθμίσεις) ενημέρωση προγράμματος, η οποία πραγματοποιείται κατά τη σύνδεση στο Internet.

Το rootkit είναι ένα κακόβουλο λογισμικό (πρόγραμμα) που σας επιτρέπει να αποκρύψετε ίχνη ενός ιού (κακόβουλο λογισμικό) στο σύστημα.

Το rootkit εγκαθίσταται μόλις αποκτήσει πρόσβαση στο σύστημα που έχει επιτεθεί - έναν υπολογιστή ή φορητό υπολογιστή.

Τα Rootkit όχι μόνο προσπαθούν να είναι αόρατα τα ίδια, αλλά κρύβουν και διάφορους άλλους ιούς που μπόρεσαν να διεισδύσουν στο σύστημα του υπολογιστή. Απαρατήρητοι από τα προγράμματα ασφαλείας, επιτίθενται στον υπολογιστή. Έτσι, τα rootkits μπορούν να μεταφέρουν προσωπικά δεδομένα χρήστη (logins και κωδικούς πρόσβασης) σε χάκερ, να εγκαταστήσουν άλλους ιούς κ.λπ.

Τα Rootkit ποικίλλουν ως προς τον τρόπο που εκτελούνται και πόσο επίμονα ενεργοποιούνται.

Με βάση τη μέθοδο εκτέλεσης, τα rootkit χωρίζονται σε:
• 1. Rootkits που τροποποιούν τη δομή δεδομένων του πυρήνα του λειτουργικού συστήματος.
• 2. Rootkits λειτουργίας χρήστη, σε αυτήν την περίπτωση οι πληροφορίες συστήματος υποκλαπούν.

Με βάση τη συνέπεια της ενεργοποίησης, διακρίνονται:
• 1. Μόνιμα rootkits που ενεργοποιούνται κάθε φορά που ξεκινά το σύστημα.
• 2. Μη μόνιμα rootkits που δεν μπορούν να ξεκινήσουν μόνα τους μετά την επανεκκίνηση του λειτουργικού συστήματος.

Τα Rootkits μπαίνουν στους υπολογιστές με διαφορετικούς τρόπους. Ένας χρήστης μπορεί να μολύνει τον υπολογιστή του εάν μεταβεί σε μια μολυσμένη τοποθεσία που έχει υποστεί επίθεση χάκερ. Μερικές φορές ένα rootkit μπορεί να βρίσκεται σε ένα email, μεταμφιεσμένο ως συνημμένο έγγραφο. Ένας χρήστης που προσπαθεί να ανοίξει ένα τέτοιο έγγραφο στην πραγματικότητα ενεργοποιεί ένα κακόβουλο πρόγραμμα και μολύνει τον υπολογιστή του. Συνήθως, ένα rootkit τροποποιεί κάποια βιβλιοθήκη λειτουργικού συστήματος - ένα αρχείο με επέκταση *.dll, οπότε γίνεται δύσκολο να εντοπιστεί και μπορεί εύκολα να κατεβάσει διάφορα προγράμματα ιών σε έναν υπολογιστή ή φορητό υπολογιστή, τα οποία ο χρήστης δεν γνωρίζει.

Υπάρχουν πολλοί τρόποι για να προστατεύσετε τον υπολογιστή σας από rootkits. Πρώτα απ 'όλα, αυτά περιλαμβάνουν την εγκατάσταση προγραμμάτων ασφαλείας: υψηλής ποιότητας antivirus και τείχος προστασίας. Το πρόγραμμα προστασίας από ιούς πρέπει να διαθέτει άδεια χρήσης και να είναι πάντα ενεργό και το τείχος προστασίας θα προστατεύει τον υπολογιστή του χρήστη από ανεπιθύμητη πρόσβαση. Ο χρήστης πρέπει να διασφαλίζει ότι τα προγράμματα προστασίας από ιούς ενημερώνονται τακτικά.

Ωστόσο, η προστασία του υπολογιστή σας από τα rootkits δεν είναι τόσο απλή όσο μπορεί να φαίνεται με την πρώτη ματιά. Ένα πρόγραμμα προστασίας από ιούς μπορεί να αναγνωρίσει ένα rootkit μόνο όταν είναι ανενεργό. Μόλις όμως ο χρήστης, χωρίς να το γνωρίζει, ενεργοποιεί το rootkit, αυτό ενεργοποιείται και διεισδύει στο σύστημα και το antivirus δεν μπορεί πλέον να το εντοπίσει. Μετά την ενεργοποίηση ενός rootkit, μόνο ειδικά προγράμματα μπορούν να το εντοπίσουν, για παράδειγμα, το AVG Anti-Rootkit, το Gmer και άλλα.

Τα Rootkits είναι ένας νέος τύπος κακόβουλου λογισμικού που είναι πολύ πιο επικίνδυνος από τους κανονικούς ιούς. Με τη βοήθειά τους, οι χάκερ μολύνουν υπολογιστές και, μέσω του Διαδικτύου, αποκτούν πρόσβαση σε εμπιστευτικές πληροφορίες χρηστών, δημιουργούν ολόκληρα δίκτυα από μολυσμένους υπολογιστές, γεγονός που τους επιτρέπει να οργανώνουν μαζικές επιθέσεις χάκερ σε διάφορους ηλεκτρονικούς πόρους του παγκόσμιου δικτύου.

Οι ιοί γίνονται όλο και πιο περίπλοκοι. Το κακόβουλο λογισμικό, το οποίο απλώς κατέστρεφε δεδομένα, έχει αντικατασταθεί εδώ και καιρό από εργαλεία που δίνουν στους εισβολείς τον έλεγχο του υπολογιστή σας. Τέτοιοι μολυσμένοι υπολογιστές έχουν χρησιμοποιηθεί από καιρό για να σχηματίσουν ολόκληρα δίκτυα που εκτελούν διάφορες εργασίες (αποστολή ανεπιθύμητων μηνυμάτων, οργάνωση επιθέσεων DDOS). Ωστόσο, για να αποκτήσετε πρόσβαση στον έλεγχο ενός απομακρυσμένου υπολογιστή, πρέπει πρώτα να εγκαταστήσετε κάποιο λογισμικό ελέγχου σε αυτόν. Αυτό κάνουν οι ιοί. Μπορείτε να ρωτήσετε: "Πώς παρακάμπτουν τα προγράμματα προστασίας από ιούς;" Έχουν εφευρεθεί πολλοί τρόποι. Ένα από αυτά είναι η χρήση των λεγόμενων rootkit.

Rootkit - ένας τρόπος για να κρύψετε το γεγονός της μόλυνσης

Ένα rootkit δεν είναι καθόλου ιός, όπως πιστεύουν ορισμένοι. Ο ίδιος δεν φέρνει κανένα κακό. Ένα rootkit είναι απλώς ένα πρόγραμμα ή ένα σύνολο εργαλείων λογισμικού για την απόκρυψη ενός αριθμού αντικειμένων ή ενός συγκεκριμένου τύπου δραστηριότητας στο σύστημα. Τα κλειδιά μητρώου που είναι υπεύθυνα για την αυτόματη εκκίνηση κακόβουλου κώδικα υπόκεινται συνήθως σε τέτοια κάλυψη. αρχεία που περιέχουν υπογραφές ιού ή το σώμα ενός ιού· συνδέσεις δικτύου ιών. ενεργές διεργασίες στο μολυσμένο σύστημα, καθώς και άλλες εκδηλώσεις κακόβουλης δραστηριότητας. Έτσι, τα rootkits επεκτείνουν τον χρόνο λειτουργίας του κακόβουλου κώδικα προτού εντοπιστεί από προγράμματα προστασίας από ιούς ή από έναν προσεκτικό χρήστη, καθιστώντας τον εντοπισμό πιο δύσκολο.

Στην πραγματικότητα, η κατάσταση είναι αρκετά χαρακτηριστική. Το PC φαίνεται να είναι μια χαρά. Το antivirus είναι αθόρυβο, η λίστα εκκίνησης είναι καθαρή και τακτοποιημένη, δεν υπάρχουν περιττές διαδικασίες. Ωστόσο, αυτή τη στιγμή, ο υπολογιστής σας μπορεί να στέλνει αθόρυβα spam, να συμμετέχει σε επιθέσεις σε ιστότοπους κ.λπ. "χαριτωμένα φάρσες" Αυτή η κατάσταση μπορεί να συνεχιστεί για μεγάλο χρονικό διάστημα. Έστω και για χρόνια!

Ο ίδιος ο όρος «rootkit» (η αγγλική έκδοση είναι rootkit) δημιουργήθηκε μεταξύ των χρηστών των λειτουργικών συστημάτων UNIX. Αυτό ήταν το όνομα για ένα σύνολο βοηθητικών προγραμμάτων ή ακόμη και μια ειδική μονάδα πυρήνα συστήματος που εγκαταστάθηκαν σε ένα παραβιασμένο σύστημα αφού ο χάκερ απέκτησε δικαιώματα root (υπερχρήστη). Αυτό το «κύριο» σύνολο μας επέτρεψε να συνεχίσουμε να κρατάμε το παραβιασμένο σύστημα υπό διακριτικό έλεγχο. Για αυτόν τον σκοπό το rootkit περιλάμβανε βοηθητικά προγράμματα για να συγκαλύψει το ίδιο το γεγονός μιας εισβολής στο σύστημα.

Κοιμηθείτε καλά, κάτοικοι της Βαγδάτης, ή πώς μεταμφιέζονται τα rootkits;

Τα περισσότερα σύγχρονα προγράμματα προστασίας από ιούς αναγνωρίζουν το κακόβουλο λογισμικό με τις λεγόμενες «υπογραφές». Είναι χαρακτηριστικές συγκεκριμένες αλυσίδες κώδικα που περιέχονται στο σώμα του ιού. Αυτές ακριβώς οι υπογραφές αποτελούν, ως επί το πλείστον, τις βάσεις δεδομένων προστασίας από ιούς που κατεβάζουμε από τους ιστότοπους του κατασκευαστή. Τέτοιες αλυσίδες κωδικών είναι ειδικά σημάδια ιών, Trojans κ.λπ. άσχημα πράγματα με τα οποία ένα πρόγραμμα προστασίας από ιούς μπορεί να αναγνωρίσει κακόβουλο λογισμικό για να το καταστρέψει.

Τα καλά προγράμματα προστασίας από ιούς διαθέτουν επίσης μια λεγόμενη «ευρετική» μονάδα ανάλυσης, η οποία μπορεί να αναγνωρίσει το κακόβουλο λογισμικό από μια σειρά από χαρακτηριστικά της συμπεριφοράς του. Η λίστα τέτοιων «χαρακτηριστικών» ενεργειών είναι αρκετά μεγάλη και περιλαμβάνει το εύρος από απλές διαγραφές αρχείων κάθε είδους έως πονηρές αλλαγές στον πυρήνα του συστήματος ή αντικατάσταση σημαντικών αρχείων ή διαδρομών συστήματος. Όσο πιο εξελιγμένοι γίνονται οι ιοί, τόσο πιο διακλαδισμένοι αλγόριθμοι πρέπει να κατασκευαστούν για ευρετική ανάλυση από προγραμματιστές που συμμετέχουν στην ανάπτυξη εργαλείων προστασίας από ιούς.

Πώς μπορεί ένα rootkit να νικήσει μια τέτοια πολυεπίπεδη προστασία; Για να γίνει αυτό, χειρίζονται τις διαδικασίες ανταλλαγής δεδομένων μεταξύ των εφαρμογών. Τα Rootkit απλώς αφαιρούν πληροφορίες σχετικά με τον εαυτό τους και το κακόβουλο λογισμικό που «φυλάσσουν» από αυτές τις διαδικασίες. Σε αυτήν την περίπτωση, το πρόγραμμα προστασίας από ιούς λαμβάνει εσκεμμένα ψευδείς πληροφορίες σχετικά με την πλήρη υγεία του συστήματος. Ούτε το μπλοκ που συγκρίνει τις υπογραφές ούτε το μπλοκ ευρετικών λαμβάνει απλώς δεδομένα που θα μπορούσαν να οδηγήσουν σε συναγερμό.

Πώς μπαίνουν τα rootkits σε έναν υπολογιστή;

Υπάρχει ένας τεράστιος αριθμός επιλογών για τη διανομή τέτοιων προγραμμάτων. Ένα rootkit μπορεί να εισέλθει στον υπολογιστή σας μέσω ενός αρχείου που επισυνάπτεται σε ένα email, μπορεί να μεταφερθεί σε μια μονάδα flash από έναν ανυποψίαστο φίλο με τη μορφή ενός μολυσμένου ή πλαστού εγγράφου DOC ή PDF, μπορεί να ληφθεί από το Διαδίκτυο μαζί με δωρεάν παιχνίδι ή άλλο λογισμικό (αυτό συμβαίνει ιδιαίτερα συχνά όταν τα προγράμματα λαμβάνονται όχι από τον ιστότοπο του προγραμματιστή ή από γνωστά αξιόπιστα αρχεία λογισμικού, αλλά από διάφορους «πειρατικούς» ιστότοπους). Αυτές οι μέθοδοι έχουν ένα κοινό χαρακτηριστικό - ο ίδιος ο χρήστης εκκινεί το rootkit στον υπολογιστή, χωρίς να συνειδητοποιεί τι κάνει. Παρεμπιπτόντως, ενώ το rootkit δεν εκτελείται και βρίσκεται σε λανθάνουσα κατάσταση με τη μορφή εγγράφου, γίνεται εύκολη λεία για τα περισσότερα antivirus. Ωστόσο, μετά την εκκίνηση, παρεμποδίζει αμέσως τις διαδικασίες του συστήματος και η σύλληψή του γίνεται αρκετά προβληματική.

Ένας άλλος πολύ συνηθισμένος τρόπος εξάπλωσης των rootkits είναι μέσω διαφόρων τοποθεσιών στο Διαδίκτυο. Αυτοί μπορεί να είναι αρκετά αξιοπρεπείς ιστότοποι, των οποίων οι ιδιοκτήτες δεν υποψιάζονται καν ότι το πνευματικό τέκνο τους έχει παραβιαστεί και μεταδίδει μόλυνση ή μπορεί να υπάρχουν ειδικά δημιουργημένοι ιστότοποι για τη διανομή rootkit. Σε αυτήν την περίπτωση, ο χρήστης χρειάζεται απλώς να ανοίξει την ιστοσελίδα του ιστότοπου, μετά την οποία το rootkit μπαίνει στον υπολογιστή του. Αυτό είναι δυνατό λόγω της παρουσίας «τρυπών» στο σύστημα ασφαλείας ενός αριθμού προγραμμάτων περιήγησης. Αυτό συμβαίνει ιδιαίτερα συχνά όταν το πρόγραμμα περιήγησης δεν ενημερώνεται τακτικά.

Πώς να απαλλαγείτε από τα rootkits;

Αλλά θα μιλήσουμε για αυτό μαζί σας στο επόμενο άρθρο, το οποίο θα ονομάζεται "".

Γεια σας φίλοι, τώρα θα σας εξηγήσω χρησιμοποιώντας ένα απλό παράδειγμα από τη ζωή τι είναι τα rootkit. Κάποτε, ένας φίλος μου γύρισε σε μένα για βοήθεια, το πρόβλημα ήταν ότι του αρνήθηκε η υπηρεσία από τον πάροχο του Διαδικτύου για τη λεγόμενη (μετάδοση) κίνηση ή με απλά λόγια - πλημμύρα. Είναι ενδιαφέρον ότι ο φίλος μου δεν είχε ιδέα τι ήταν ή πώς να το αντιμετωπίσει. Ο πάροχος απλά είπε στον φίλο μου ότι διανέμει πακέτα εκπομπής σε όλους τους χρήστες του δικτύου με ταχύτητα 7000-9000 πακέτα ανά λεπτό και αυτό μειώνει τη συνολική απόδοση του δικτύου. Το λειτουργικό σύστημα του φίλου μου ήταν τα Windows XP.

Τι είναι η κίνηση εκπομπής; Αυτά είναι πακέτα πληροφοριών που προορίζονται για όλους τους υπολογιστές του δικτύου. Σε κανονική λειτουργία, ένας υπολογιστής στο δίκτυο στέλνει 15 τέτοια πακέτα ανά λεπτό, αλλά ο υπολογιστής του φίλου μου έστειλε 9000 πακέτα ανά λεπτό και απλώς αποσυνδέθηκε από το δίκτυο με συμβουλές για επανεγκατάσταση του προγράμματος οδήγησης στον προσαρμογέα δικτύου ή σε ολόκληρο το λειτουργικό σύστημα. Και μάλιστα, ο λόγος εμφάνισης τέτοιων πακέτων είναι ένα ελαττωματικό πρόγραμμα οδήγησης προσαρμογέα δικτύου, ο ίδιος ο προσαρμογέας δικτύου, ελαττωματικά Windows, ή... ιοί!

Η επανεγκατάσταση του προγράμματος οδήγησης δεν έδωσε τίποτα και η εγκατάσταση ενός νέου προσαρμογέα δικτύου στην υποδοχή PCI δεν βοήθησε, αλλά η επανεγκατάσταση των Windows απέδωσε καρπούς για ακριβώς δύο ημέρες, τότε ο φίλος μου αποσυνδέθηκε ξανά από τον κόσμο για την ίδια πλημμύρα.

Τι να κάνω; Πρώτα απ 'όλα, αποφάσισα να ελέγξω τον υπολογιστή για ιούς, το αποτέλεσμα ήταν αρνητικό και δεν βρήκα τίποτα, στο τέλος αποφάσισα να ελέγξω τα Windows XP χρησιμοποιώντας το αποδεδειγμένο βοηθητικό πρόγραμμα RootkitRevealer από τον Mark Russinovich, αυτό το βοηθητικό πρόγραμμα δεν αφαιρεί rootkits, αλλά εντοπίζει μόνο και βρήκε πολλά rootkits!

Σημείωση: Το RootkitRevealer δεν λειτουργεί σε λειτουργικά συστήματα 64-bit, επίσης δεν συνιστώ να το εκτελείτε στα Windows 7, 8, 10, είναι καλύτερο να εργάζεστε με προγράμματα: .

Έπρεπε να αποσυνδέσω τον σκληρό δίσκο του φίλου μου και να τον συνδέσω στον υπολογιστή μου με έναν δεύτερο και μετά να σαρώσω τη μονάδα δίσκου C: με το βοηθητικό πρόγραμμα TDSSKiller, το οποίο σκότωσε αυτά τα rootkits. Αλλά τα ίδια τα rootkits δεν διανέμουν πακέτα εκπομπής, κρύβουν μόνο τον απατεώνα που το κάνει αυτό. Αφού έλεγξα τον σκληρό δίσκο του φίλου μου με το πρόγραμμα προστασίας από ιούς, βρήκα πολλά σκουλήκια και ήταν αυτά που "σπάσανε" στο δίκτυο, έστελναν πακέτα εκπομπής ή πολλαπλής διανομής, προσπαθώντας να ανοίξουν μια τρύπα σε άλλους υπολογιστές του δικτύου και να τους μολύνουν. Όσο περισσότερους υπολογιστές μολύνετε, τόσο το καλύτερο, γιατί θα καταλήξετε με ένα Botnet - που αποτελείται από πολλούς υπολογιστές, το οποίο μπορεί να χρησιμοποιηθεί για επίθεση DOS σε οποιονδήποτε πόρο του δικτύου.

Αργότερα, διαπιστώσαμε πώς ακριβώς μπήκαν τα rootkits στον υπολογιστή του φίλου μου - μέσω ενός χακαρισμένου παιχνιδιού υπολογιστή που ο φίλος μου κατέβασε από έναν ανοιχτό πόρο.

Τι είναι τα rootkit

Σύμφωνα με την ταξινόμηση ορισμένων προγραμματιστών λογισμικού προστασίας από ιούς, τα rootkits δεν είναι ξεχωριστός τύπος κακόβουλου λογισμικού, αλλά είναι ένας πιο προηγμένος τύπος. Ταυτόχρονα, εάν οι Trojans, κατά κανόνα, μεταμφιέζονται ως χρήσιμα προγράμματα, τότε τα rootkits κρύβονται πιο επαγγελματικά - με βαθιά διείσδυση στο σύστημα.

Υπάρχουν ακόμη κιτ σε επίπεδο πυρήνα που αντικαθιστούν μέρος του κώδικα του πυρήνα του λειτουργικού συστήματος.

Άλλα rootkits προσθέτουν τον κώδικά τους σε κοινές βιβλιοθήκες ή προγράμματα οδήγησης, αλλά δεν διακόπτουν την κύρια λειτουργία τους.

Οι σύγχρονες εκδόσεις των rootkit μπορούν να αποκρύψουν φακέλους, αρχεία, ρυθμίσεις μητρώου συστήματος, εκτελούμενες διαδικασίες εφαρμογών, υπηρεσίες συστήματος, προγράμματα οδήγησης και συνδέσεις δικτύου από τον χρήστη. Η αρχή της λειτουργίας τους βασίζεται στην τροποποίηση των δεδομένων και του κώδικα προγράμματος στη μνήμη του συστήματος. Γιατί γίνονται όλα αυτά;?

Κύριοι στόχοι των rootkit

Ένα rootkit από μόνο του δεν είναι επικίνδυνο και, πάλι, δεν είναι ένα κακόβουλο πρόγραμμα από μόνο του - δεν πολλαπλασιάζεται, ούτε, όπως αυτά, καταστρέφει δεδομένα χρήστη και εξοπλισμό υπολογιστή. Τα Rootkit δεν επιδιώκουν να μολύνουν άλλους υπολογιστές μέσω ενός δικτύου διεισδύοντας σε έναν από αυτούς, όπως κάνουν. Η αποστολή ενός rootkit είναι να κρύβει τις ενέργειες ενός άλλου κακόβουλου προγράμματος που λειτουργεί στον υπολογιστή. Ένα rootkit είναι σαν συνεργός ενός εγκληματία. Αλλά οι ενέργειες ενός εγκληματία - το πιο κακόβουλο πρόγραμμα, για παράδειγμα, ένας ιός, ένας Trojan ή - μπορεί να έχουν συνέπειες διαφορετικών βαθμών κινδύνου. Αυτό θα μπορούσε να είναι η παροχή πρόσβασης σε έναν απατεώνα σε έναν υπολογιστή, η κατασκοπεία των ενεργειών ενός χρήστη, η κλοπή των εμπιστευτικών δεδομένων του και άλλα πολύ δυσάρεστα πράγματα που μπορεί να κάνει το κακόβουλο λογισμικό.

Για παράδειγμα, ένα rootkit μπορεί να χρησιμεύσει ως βοηθητικό εργαλείο για την εισαγωγή του Backdoor Trojan στο λειτουργικό σύστημα, το κύριο καθήκον του οποίου είναι ο κρυφός και πλήρης έλεγχος ενός μολυσμένου υπολογιστή που μετατρέπεται σε πραγματικό "ζόμπι". ο ιδιοκτήτης του καθόλου, αλλά λειτουργεί μόνο για εισβολείς συμμετέχοντας σε διάφορες επιθέσεις DOS σε συγκεκριμένους πόρους δικτύου.

Τα Rootkit δεν εισάγονται πάντα σε ένα σύστημα χωρίς εξουσιοδότηση. Οι προγραμματιστές μερικές φορές εισάγουν νόμιμα rootkits σε χρήσιμα προγράμματα, χωρίς να ξεχνούν να βεβαιωθούν ότι ο χρήστης επιτρέπει την εγκατάστασή τους μαζί με το κύριο πρόγραμμα.

Μια άλλη διαφορά μεταξύ των rootkits και άλλων τύπων κακόβουλου λογισμικού είναι η δυνατότητα εφαρμογής όχι μόνο στα Windows, αλλά και στο Linux, το οποίο θεωρείται ασφαλές λειτουργικό σύστημα εν μέρει για τον απλό λόγο ότι μέχρι στιγμής οι μαζικοί προγραμματιστές ιών και Trojans δεν είναι ιδιαίτερα ενδιαφέρεται για το κοινό των χρηστών του. Είναι αλήθεια ότι είναι πολύ πιο δύσκολο για ένα rootkit να διεισδύσει στο Linux παρά στα Windows.

Σημάδια ενός rootkit στο σύστημα

Ένα rootkit που εισάγεται στο σύστημα μπορεί να προκαλέσει πάγωμα ενός υπολογιστή χαμηλής κατανάλωσης. Αλλά αυτό, τονίζω, είναι μόνο μια θεωρητική πιθανότητα να έχει διεισδύσει ένα rootkit στον υπολογιστή, γιατί μπορεί να υπάρχουν πολλοί λόγοι για αδύναμες συσκευές.

Ένα άλλο σημάδι ότι ένα σύστημα μπορεί να έχει rootkit είναι όταν τα δεδομένα αποστέλλονται μέσω του δικτύου, υπό την προϋπόθεση ότι όλα τα προγράμματα και οι υπηρεσίες συστήματος που αλληλεπιδρούν με το δίκτυο δεν είναι ενεργά. Και πάλι, αυτή δεν είναι η πιο αξιόπιστη διαγνωστική μέθοδος, καθώς τα rootkits, κατά κανόνα, λειτουργούν πολύ προσεκτικά και πρέπει ακόμα να μπορείτε να μπείτε στη στιγμή της αποστολής δεδομένων από τον υπολογιστή.

Δυστυχώς, δεν υπάρχουν εμφανή σημάδια ειδικά για τα rootkit. Η παρουσία rootkit σε έναν υπολογιστή θα πει πολύ περισσότερα από τα εξωτερικά σημάδια.

Πώς να απαλλαγείτε από τα rootkits;

Φίλοι, ο καλύτερος τρόπος για να εντοπίσετε ένα rootkit είναι να σαρώσετε έναν σκληρό δίσκο με μολυσμένα Windows από άλλο λειτουργικό σύστημα με ένα πρόγραμμα προστασίας από ιούς, για παράδειγμα, αφαιρέστε τον σκληρό δίσκο και συνδέστε τον σε άλλον υπολογιστή με μια δεύτερη συσκευή (όπως έκανα) ή χρησιμοποιήστε μια δισκέτα εκκίνησης προστασίας από ιούς. Μάθετε περισσότερα για το πώς να απαλλαγείτε από τα rootkits.

Είναι τα rootkits πιο επικίνδυνα από τους ιούς;

Οι εποχές που ένας ιός υπολογιστών θεωρούνταν το πιο σημαντικό παράσιτο έχουν περάσει προ πολλού.

Σήμερα, υπάρχουν πολύ πιο επικίνδυνες κακόβουλες εφαρμογές, τα λεγόμενα rootkits, που δημιουργούνται από χάκερ για να δημιουργήσουν απομακρυσμένη πρόσβαση στον υπολογιστή σας. Η καταστροφική δύναμη των rootkit έγκειται στο άτρωτο τους σε προγράμματα προστασίας από ιούς και στην ευρεία διανομή τους.

Τι κάνει ένα rootkit;

Παρακάμπτοντας το τείχος προστασίας, το rootkit δημιουργεί μια "πίσω πόρτα" μέσω μυστικών κερκόπορτων στο Διαδίκτυο, η οποία σας επιτρέπει να δημιουργήσετε μια απομακρυσμένη σύνδεση, να εγκαταστήσετε πρόσθετες μονάδες, να κλέψετε κωδικούς πρόσβασης που είναι αποθηκευμένοι στον υπολογιστή, να σαρώσετε τραπεζικά στοιχεία πλαστικών καρτών, να απενεργοποιήσετε το anti- Οι εφαρμογές ιών, δηλαδή, ελέγχουν τον υπολογιστή όπως υπαγορεύει η φαντασία σας.

Σε τι χρησιμεύουν τα rootkit;

Οι χάκερ χρησιμοποιούν rootkits για να αποκτήσουν απομακρυσμένο έλεγχο για να δημιουργήσουν δίκτυα ζόμπι, των οποίων η τεράστια υπολογιστική ισχύς τους επιτρέπει να πραγματοποιούν επιθέσεις DDoS πρωτοφανούς ισχύος, να πραγματοποιούν μαζικές αποστολές ανεπιθύμητης αλληλογραφίας και να λαμβάνουν ευαίσθητα δεδομένα - κωδικούς πρόσβασης, βιβλία διευθύνσεων και αρχεία.

Πώς μπαίνει ένα rootkit σε έναν υπολογιστή;

Βασικά, τα rootkits διεισδύουν στο σύστημα με τον ίδιο τρόπο όπως οι κανονικοί ιοί - μέσω αρχείων που είναι προσαρτημένα σε ανεπιθύμητα μηνύματα, μέσω μονάδων flash, καθώς και μέσω τρωτών σημείων σε προγράμματα περιήγησης και πρόσθετα. Συχνά μια μονάδα flash με rootkit δίνεται σε ένα πιθανό θύμα.

Αφού διεισδύσει σε έναν υπολογιστή, ένα rootkit μπαίνει βαθιά στο σύστημα, αντικαθιστώντας ένα από τα αρχεία της βιβλιοθήκης *.dll, κερδίζοντας μια προνομιακή θέση στο σύστημα, παραμένοντας απαρατήρητο από προγράμματα προστασίας από ιούς, εγκαθιστώντας πρόσθετες εφαρμογές που παρέχουν απεριόριστη πρόσβαση στο υπολογιστή του θύματος.

Γιατί τα προγράμματα προστασίας από ιούς δεν βρίσκουν rootkit;

Τα προγράμματα προστασίας από ιούς αναγνωρίζουν το κακόβουλο λογισμικό με τις λεγόμενες υπογραφές - ειδικές αλυσίδες κώδικα που περιέχονται στο σώμα του ιού ή από τα χαρακτηριστικά της συμπεριφοράς του. Η ιδιαιτερότητα των rootkit είναι ότι χειρίζονται τις διαδικασίες ανταλλαγής ροών δεδομένων μεταξύ προγραμμάτων, συμπεριλαμβανομένων προγραμμάτων προστασίας από ιούς, αντικαθιστώντας και διαγράφοντας δεδομένα σχετικά με τον εαυτό τους. Έτσι, το antivirus λαμβάνει την πληροφορία ότι "όλα είναι εντάξει, δεν εντοπίστηκαν απειλές".

Πώς να αφαιρέσετε τα rootkits;

Ο εντοπισμός κρυφού κακόβουλου κώδικα είναι μια πολύ σοβαρή εργασία και ένα κανονικό πρόγραμμα προστασίας από ιούς δεν μπορεί να το αντιμετωπίσει. Για να γίνει αυτό, πρέπει να χρησιμοποιήσετε ειδικά προγράμματα που είναι γραμμένα ειδικά για τέτοιους σκοπούς.

Σήμερα, τα πιο αποτελεσματικά δωρεάν προγράμματα για τον εντοπισμό rootkit είναι το AVG Anti-Roorkit. Καθένα από αυτά αφαιρεί τον μέγιστο αριθμό κρυμμένων παρασίτων. Το καλύτερο αποτέλεσμα μπορεί να επιτευχθεί χρησιμοποιώντας και τις δύο αυτές εφαρμογές. Άλλα προγράμματα εμφανίζουν μη ικανοποιητικά αποτελέσματα όταν ελέγχονται.