Que font les rootkits ? Distribution et déguisement de rootkits. Programme de suppression du rootkit Kaspersky TDSSKiller de la société du même nom

Un virus informatique peut être appelé un programme qui opère secrètement et cause des dommages à l’ensemble du système ou à une partie de celui-ci. Un programmeur sur deux a rencontré ce problème. Il n'y a plus un seul utilisateur de PC qui ne sache quoi

Types de virus informatiques :

1. Des vers. Ce sont des programmes qui encombrent le système en se reproduisant et en se copiant constamment. Plus il y en a dans le système, plus il fonctionne lentement. Le ver ne peut en aucun cas fusionner avec un programme sécurisé. Il existe sous forme de fichier(s) distinct(s).
2. fusionner avec des inoffensifs et se déguiser en eux. Ils ne causent aucun dommage à l’ordinateur jusqu’à ce que l’utilisateur exécute le fichier contenant le cheval de Troie. Ces virus sont utilisés pour supprimer et modifier des données.
3. Les logiciels espions collectent des informations. Leur objectif est de détecter les codes et mots de passe et de les transmettre à la personne qui les a créés et lancés sur Internet, autrement dit le propriétaire.
4. Les virus zombies permettent à un pirate informatique de contrôler un ordinateur infecté. L’utilisateur peut même ne pas savoir que son PC est infecté et que quelqu’un l’utilise.
5. Les programmes de blocage vous empêchent du tout de vous connecter au système.

Qu'est-ce qu'un rootkit ?

Un rootkit est un ou plusieurs programmes qui masquent la présence d'applications indésirables sur un ordinateur, aidant ainsi les attaquants à agir sans être détectés. Il contient absolument l’ensemble des fonctions des logiciels malveillants. Cette application étant souvent située au plus profond du système, il est extrêmement difficile de la détecter à l’aide d’un antivirus ou d’autres outils de sécurité. Un rootkit est un ensemble d'outils logiciels capables de lire les mots de passe stockés, d'analyser diverses données et également de désactiver la sécurité du PC. De plus, il existe une fonction de porte dérobée, ce qui signifie que le programme offre au pirate informatique la possibilité de se connecter à l'ordinateur à distance.

En d’autres termes, un rootkit est une application chargée d’intercepter les fonctions du système. Pour le système d'exploitation Windows, les rootkits populaires suivants peuvent être identifiés : TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.

Variétés

Il existe plusieurs variantes de ces programmes antivirus. Ils peuvent être divisés en deux catégories : le mode utilisateur (utilisateur) et le mode noyau (rootkits au niveau du noyau). Les utilitaires de la première catégorie ont les mêmes capacités que les applications classiques pouvant être exécutées sur l'appareil. Ils peuvent utiliser la mémoire des programmes déjà en cours d'exécution. C'est l'option la plus populaire. Les rootkits de la deuxième catégorie sont situés en profondeur dans le système et ont un accès complet à l'ordinateur. Si un tel programme est installé, le pirate informatique peut alors faire presque ce qu'il veut avec l'appareil attaqué. Les rootkits de ce niveau sont beaucoup plus difficiles à créer, c'est pourquoi la première catégorie est plus populaire. Mais un programme antivirus au niveau du noyau n'est pas du tout facile à trouver et à supprimer, et la protection contre les virus informatiques est souvent totalement impuissante ici.

Il existe d'autres variantes plus rares de rootkits. Ces programmes sont appelés bootkits. L'essence de leur travail est qu'ils prennent le contrôle de l'appareil bien avant le démarrage du système. Plus récemment, des rootkits ont été créés pour s'attaquer aux smartphones Android. Les technologies des hackers se développent de la même manière que les logiciels informatiques : elles s'adaptent à leur temps.

Rootkits faits maison

Un grand nombre d'ordinateurs infectés se trouvent sur ce que l'on appelle le réseau zombie et sont utilisés pour envoyer des messages de spam. Dans le même temps, les utilisateurs de ces PC ne se doutent de rien d'une telle « activité ». Jusqu’à aujourd’hui, il était courant de penser que seuls des programmeurs professionnels pouvaient créer ces réseaux. Mais très bientôt, tout pourrait changer radicalement. En fait, vous pouvez trouver de plus en plus d’outils permettant de créer des programmes antivirus sur Internet. Par exemple, en utilisant un kit appelé Pinch, vous pouvez facilement créer un rootkit. La base de ce malware sera le cheval de Troie Pinch Builder, qui peut être amélioré avec diverses fonctions. Cette application peut facilement lire les mots de passe dans les navigateurs, reconnaître les données saisies et les envoyer aux fraudeurs, et masquer intelligemment ses fonctions.

Façons d’infecter un appareil

Initialement, les rootkits sont introduits dans le système de la même manière que les autres programmes antivirus. Si un plugin ou un navigateur est vulnérable, il ne sera pas difficile pour l'application d'accéder à votre ordinateur. Les lecteurs flash sont souvent utilisés à ces fins. Parfois, les pirates informatiques laissent simplement les clés USB dans des endroits très fréquentés, où une personne peut emporter l'appareil infecté avec elle. C’est ainsi qu’un rootkit pénètre sur l’ordinateur de la victime. Cela conduit l’application à exploiter les faiblesses du système et à y gagner facilement la domination. Le programme installe ensuite des composants auxiliaires utilisés pour contrôler l'ordinateur à distance.

Phishing

Le système est souvent infecté par phishing. Il existe une forte possibilité que du code pénètre sur votre ordinateur pendant le processus de téléchargement de jeux et de programmes sans licence. Très souvent, il est déguisé en fichier appelé Readme. Nous ne devons jamais oublier les dangers des logiciels et des jeux téléchargés à partir de sites non vérifiés. Le plus souvent, l'utilisateur lance lui-même un rootkit, après quoi le programme masque immédiatement tous les signes de son activité, et il est très difficile de le détecter par la suite.

Pourquoi un rootkit est-il difficile à détecter ?

Ce programme intercepte les données de diverses applications. Parfois, l'antivirus détecte ces actions immédiatement. Mais souvent, lorsque l'appareil a déjà été infecté, le virus masque facilement toutes les informations sur l'état de l'ordinateur, tandis que les traces d'activité ont déjà disparu et que les informations sur tous les logiciels nuisibles ont été supprimées. Évidemment, dans une telle situation, l’antivirus n’a aucun moyen de détecter les signes d’un rootkit et d’essayer de l’éliminer. Mais, comme le montre la pratique, ils sont capables de contenir de telles attaques. Et les entreprises qui produisent des logiciels de sécurité mettent régulièrement à jour leurs produits et ajoutent les informations nécessaires sur les nouvelles vulnérabilités.

Rechercher des rootkits sur votre ordinateur

Pour les trouver, vous pouvez utiliser divers utilitaires spécialement créés à cet effet. Kaspersky Anti-Virus s'acquitte bien de cette tâche. Il vous suffit de vérifier votre appareil pour détecter toutes sortes de vulnérabilités et de logiciels malveillants. Une telle vérification est très importante pour protéger le système contre les virus, y compris les rootkits. L'analyse détecte les codes malveillants que la protection contre les programmes indésirables n'a pas pu détecter. De plus, la recherche permet de détecter les vulnérabilités du système d'exploitation grâce auxquelles les attaquants peuvent distribuer des programmes et des objets malveillants. Vous recherchez une protection adaptée ? Kaspersky vous convient tout à fait. Un rootkit peut être détecté en exécutant simplement une recherche périodique de ces virus sur votre système.

Pour rechercher de telles applications plus en détail, vous devez configurer votre antivirus pour vérifier le fonctionnement des fichiers système les plus importants au niveau le plus bas. Il est également très important d'assurer un haut niveau d'autoprotection de l'antivirus, puisqu'un rootkit peut facilement le désactiver.

Vérification des lecteurs

Afin d'être sûr que votre ordinateur est en sécurité, vous devez vérifier tous les disques portables lorsque vous les allumez. Les rootkits peuvent facilement pénétrer dans votre système d'exploitation via des disques amovibles et des lecteurs flash. Kaspersky Anti-Virus surveille absolument tous les périphériques amovibles lorsqu'ils sont connectés à l'appareil. Pour ce faire, il vous suffit de configurer une analyse du lecteur et de vous assurer de maintenir votre antivirus à jour.

Supprimer un rootkit

La lutte contre ces applications malveillantes présente de nombreux défis. Le principal problème est qu’ils réussissent assez bien à résister à la détection en masquant les clés de registre et tous leurs fichiers de telle manière que les programmes antivirus ne puissent pas les trouver. Il existe des programmes d'aide pour supprimer les rootkits. Ces utilitaires ont été créés pour rechercher des logiciels malveillants à l'aide de diverses méthodes, y compris des méthodes hautement spécialisées. Vous pouvez télécharger un programme assez efficace appelé Gmer. Cela aidera à détruire la plupart des rootkits connus. Vous pouvez également recommander le programme AVZ. Il détecte avec succès presque tous les rootkits. Comment supprimer les logiciels dangereux à l’aide de ce programme ? Ce n'est pas difficile : nous définissons les paramètres nécessaires (l'utilitaire peut soit envoyer les fichiers infectés en quarantaine, soit les supprimer indépendamment), puis sélectionnons le type d'analyse - surveillance complète ou partielle du PC. Ensuite, nous exécutons le test lui-même et attendons les résultats.

Un programme spécial appelé TDSSkiller combat efficacement l'application TDSS. AVG Anti-Rootkit aidera à supprimer les rootkits restants. Il est très important, après avoir utilisé de tels assistants, de vérifier si le système est infecté à l'aide d'un antivirus. Kaspersky Internet Security s'acquittera parfaitement de cette tâche. De plus, ce programme est capable de supprimer les rootkits plus simples grâce à sa fonction de désinfection.

Vous devez vous rappeler que lorsque vous recherchez des virus avec un logiciel de sécurité, vous ne devez ouvrir aucune application ou fichier sur votre ordinateur. Le contrôle sera alors plus efficace. Bien entendu, vous devez penser à mettre régulièrement à jour votre logiciel antivirus. L'option idéale est la mise à jour automatique quotidienne (définie dans les paramètres) du programme, qui se produit lors de la connexion à Internet.

Un rootkit est un logiciel (programme) malveillant qui permet de masquer les traces d'un virus (malware) dans le système.

Le rootkit est installé dès qu'il accède au système attaqué - un ordinateur ou un ordinateur portable.

Les rootkits tentent non seulement d'être eux-mêmes invisibles, mais cachent également divers autres virus capables de pénétrer dans le système informatique. Inaperçus des programmes de sécurité, ils attaquent l'ordinateur. Ainsi, les rootkits peuvent transférer les données personnelles des utilisateurs (identifiants et mots de passe) à des pirates, installer d'autres virus, etc.

Les rootkits varient dans la manière dont ils sont exécutés et avec quelle persistance ils sont activés.

En fonction de la méthode d'exécution, les rootkits sont divisés en :
• 1. Rootkits qui modifient la structure des données du noyau du système d’exploitation ;
• 2. Rootkits en mode utilisateur, dans ce cas les informations système sont interceptées.

En fonction de la cohérence de l'activation, on les distingue :
• 1. Rootkits persistants qui sont activés à chaque démarrage du système ;
• 2. Rootkits non persistants qui ne peuvent pas démarrer d'eux-mêmes après le redémarrage du système d'exploitation.

Les rootkits pénètrent dans les PC de différentes manières. Un utilisateur peut infecter son ordinateur s’il accède à un site Internet infecté ayant fait l’objet d’une attaque de pirate informatique. Parfois, un rootkit peut se trouver dans un e-mail, déguisé en document joint. Un utilisateur qui tente d'ouvrir un tel document active en réalité un programme malveillant et infecte son ordinateur. En règle générale, un rootkit modifie une bibliothèque du système d'exploitation - un fichier avec une extension *.dll, ce qui le rend difficile à détecter et peut facilement télécharger divers programmes antivirus sur un ordinateur ou un ordinateur portable, dont l'utilisateur n'a pas connaissance.

Il existe de nombreuses façons de protéger votre ordinateur contre les rootkits. Tout d'abord, ceux-ci incluent l'installation de programmes de sécurité : antivirus et pare-feu de haute qualité. Le programme antivirus doit être sous licence et toujours actif, et le pare-feu protégera l’ordinateur de l’utilisateur contre tout accès indésirable. L'utilisateur doit s'assurer que les programmes antivirus sont mis à jour régulièrement.

Cependant, protéger votre ordinateur contre les rootkits n’est pas aussi simple qu’il y paraît à première vue. Un programme antivirus ne peut reconnaître un rootkit que lorsqu'il est inactif. Mais dès que l’utilisateur, sans le savoir, active le rootkit, celui-ci s’active et pénètre dans le système, et l’antivirus ne parvient plus à le détecter. Après avoir activé un rootkit, seuls des programmes spéciaux peuvent le détecter, par exemple AVG Anti-Rootkit, Gmer et autres.

Les rootkits sont un nouveau type de malware bien plus dangereux que les virus classiques. Avec leur aide, les pirates infectent les ordinateurs et, via Internet, accèdent aux informations confidentielles des utilisateurs ; ils créent des réseaux entiers à partir d'ordinateurs infectés, ce qui leur permet d'organiser des attaques massives de pirates sur diverses ressources électroniques du réseau mondial.

Les virus sont de plus en plus sophistiqués. Les logiciels malveillants, qui corromptaient simplement les données, ont depuis longtemps été remplacés par des outils permettant aux attaquants de contrôler votre PC. Ces ordinateurs infectés ont longtemps été utilisés pour former des réseaux entiers effectuant diverses tâches (envoi de spam, organisation d'attaques DDOS). Cependant, pour pouvoir accéder au contrôle d'un ordinateur distant, vous devez d'abord y installer un logiciel de contrôle. C'est ce que font les virus. Vous vous demandez peut-être : « Comment contournent-ils les programmes antivirus ? » De nombreuses façons ont été inventées. L’un d’eux est l’utilisation de ce qu’on appelle les rootkits.

Rootkit - un moyen de cacher le fait de l'infection

Un rootkit n’est pas du tout un virus, comme certains le croient. Lui-même ne fait aucun mal. Un rootkit est simplement un programme ou un ensemble d'outils logiciels permettant de masquer un certain nombre d'objets ou un certain type d'activité dans le système. Les clés de registre responsables du lancement automatique du code malveillant sont généralement soumises à un tel masquage ; fichiers contenant des signatures de virus ou le corps d'un virus ; connexions réseau virales ; processus actifs dans le système infecté, ainsi que d’autres manifestations d’activités malveillantes. Ainsi, les rootkits allongent la durée de fonctionnement d'un code malveillant avant qu'il ne soit détecté par les antivirus ou par un utilisateur attentif, en rendant la détection plus difficile.

En fait, la situation est assez typique. Le PC semble aller bien. L'antivirus est silencieux, la liste de démarrage est propre et ordonnée, il n'y a pas de processus inutiles. Cependant, à ce moment précis, votre ordinateur peut tranquillement envoyer du spam, participer à des attaques sur des sites, etc. "farces mignonnes" Cette situation peut durer longtemps. Même depuis des années !

Le terme « rootkit » lui-même (la version anglaise est rootkit) est né parmi les utilisateurs de systèmes d'exploitation UNIX. C'était le nom d'un ensemble d'utilitaires ou même d'un module spécial du noyau système qui étaient installés sur un système piraté après que le pirate informatique ait obtenu les droits root (superutilisateur). Cet ensemble « gentleman » nous a permis de continuer à garder le système piraté sous contrôle discret. C'est dans ce but que le rootkit incluait des utilitaires permettant de masquer le fait même d'une intrusion dans le système.

Dormez bien, habitants de Bagdad, ou comment les rootkits se déguisent-ils ?

La plupart des programmes antivirus modernes reconnaissent les logiciels malveillants grâce à ce qu'on appelle des « signatures ». Ce sont des chaînes de codes spécifiques caractéristiques contenues dans le corps du virus. Ce sont précisément ces signatures qui constituent, pour l’essentiel, les bases de données antivirus que l’on télécharge sur les sites des constructeurs. De telles chaînes de codes sont des signes particuliers de virus, chevaux de Troie, etc. des choses désagréables par lesquelles un programme antivirus peut identifier les logiciels malveillants afin de les détruire.

Les bons antivirus disposent également d’une unité d’analyse dite « heuristique », qui peut reconnaître les logiciels malveillants grâce à un certain nombre de caractéristiques de leur comportement. La liste de ces actions « caractéristiques » est assez longue et va de la simple suppression de fichiers de toute nature à des modifications astucieuses du noyau du système ou à la substitution de fichiers ou de chemins système importants. Plus les virus deviennent sophistiqués, plus les algorithmes doivent être élaborés pour l'analyse heuristique par les programmeurs impliqués dans le développement d'outils antivirus.

Comment un rootkit peut-il vaincre une telle protection multicouche ? Pour ce faire, ils manipulent les processus d’échange de données entre applications. Les rootkits suppriment simplement les informations les concernant ainsi que les logiciels malveillants qu’ils « protègent » de ces processus. Dans ce cas, le programme antivirus reçoit délibérément de fausses informations sur l'état de santé complet du système. Ni le bloc qui compare les signatures, ni le bloc heuristique ne reçoivent simplement des données pouvant conduire à une alarme.

Comment les rootkits s’installent-ils sur un ordinateur ?

Il existe un grand nombre d'options pour distribuer de tels programmes. Un rootkit peut pénétrer dans votre ordinateur via un fichier joint à un courrier électronique, il peut être importé sur une clé USB par un ami sans méfiance sous la forme d'un document DOC ou PDF infecté ou faux, il peut être téléchargé sur Internet avec un jeu gratuit ou autre logiciel (cela se produit particulièrement souvent lorsque les programmes sont téléchargés non pas à partir du site Web du développeur ou d'archives de logiciels fiables et bien connues, mais à partir de divers sites « pirates »). Ces méthodes ont une chose en commun : l'utilisateur lui-même lance le rootkit sur l'ordinateur, sans se rendre compte de ce qu'il fait. À propos, même si le rootkit n'est pas en cours d'exécution et se trouve à l'état latent sous la forme d'un document, il devient une proie facile pour la plupart des antivirus. Cependant, après le lancement, il intercepte immédiatement les processus système et sa capture devient assez problématique.

Un autre moyen très courant pour les rootkits de se propager est via divers sites Internet. Il peut s'agir de sites tout à fait décents, dont les propriétaires ne soupçonnent même pas que leur idée a été piratée et propage une infection, ou il peut y avoir des sites spécialement créés pour distribuer des rootkits. Dans ce cas, il suffit à l’utilisateur d’ouvrir la page Web du site, après quoi le rootkit pénètre dans son PC. Ceci est possible grâce à la présence de « trous » dans le système de sécurité d'un certain nombre de navigateurs. Cela arrive particulièrement souvent lorsque le navigateur n'est pas mis à jour régulièrement.

Comment se débarrasser des rootkits ?

Mais nous en reparlerons avec vous dans le prochain article, qui s'intitulera « ».

Bonjour les amis, je vais maintenant vous expliquer à l'aide d'un exemple simple tiré de la vie que sont les rootkits. Un jour, un de mes amis m'a demandé de l'aide. Le problème était que son fournisseur d'accès Internet lui avait refusé le service pour ce qu'on appelle le trafic (de diffusion) ou, en termes simples, les inondations. Fait intéressant, mon ami n’avait aucune idée de ce que c’était ni de comment y faire face. L'opérateur du fournisseur a simplement dit à mon ami qu'il distribuait les paquets de diffusion à tous les utilisateurs du réseau à une vitesse de 7 000 à 9 000 paquets par minute et réduisait ainsi le débit global du réseau. Le système d'exploitation de mon ami était Windows XP.

Qu’est-ce que le trafic de diffusion ? Il s'agit de paquets d'informations destinés à tous les ordinateurs du réseau. En mode normal, un ordinateur du réseau envoie 15 paquets de ce type par minute, mais l'ordinateur de mon ami envoyait 9 000 paquets par minute et a simplement été déconnecté du réseau avec des conseils pour réinstaller le pilote sur la carte réseau ou sur l'ensemble du système d'exploitation. Et en fait, la raison de l'apparition de tels packages est un pilote de carte réseau défectueux, la carte réseau elle-même, un Windows défectueux ou... des virus !

La réinstallation du pilote n'a rien donné, et l'installation d'une nouvelle carte réseau dans l'emplacement PCI n'a pas aidé non plus, mais la réinstallation de Windows a porté ses fruits pendant exactement deux jours, puis mon ami a de nouveau été déconnecté du monde pour la même inondation.

Ce qu'il faut faire? Tout d'abord, j'ai décidé de vérifier l'ordinateur pour les virus, le résultat était négatif et je n'ai rien trouvé, j'ai finalement décidé de vérifier Windows XP à l'aide de l'utilitaire éprouvé RootkitRevealer de Mark Russinovich, cet utilitaire ne supprime pas les rootkits, mais détecte uniquement eux et il a trouvé plusieurs rootkits !

Remarque : RootkitRevealer ne fonctionne pas sur les systèmes d'exploitation 64 bits, je ne recommande pas non plus de l'exécuter sous Windows 7, 8, 10, il est préférable de travailler avec des programmes : .

J'ai dû déconnecter le disque dur de mon ami et le connecter à mon ordinateur avec un deuxième, puis scanner son disque C: avec l'utilitaire TDSSKiller, qui a tué ces rootkits. Mais les rootkits eux-mêmes ne distribuent pas de paquets de diffusion, ils cachent seulement le scélérat qui fait cela. Après avoir vérifié le disque dur de mon ami avec mon antivirus, j'ai trouvé plusieurs vers, et ce sont eux qui « craquaient » sur le réseau, envoyant des paquets de diffusion ou de multidiffusion, essayant de percer d'autres ordinateurs du réseau et de les infecter. Plus vous infectez d'ordinateurs, mieux c'est, car vous vous retrouverez avec un Botnet - composé de nombreux ordinateurs, qui peuvent être utilisés pour une attaque DOS sur n'importe quelle ressource du réseau.

Plus tard, nous avons établi exactement comment les rootkits étaient arrivés sur l’ordinateur de mon ami – via un jouet informatique piraté que mon ami avait téléchargé à partir d’une ressource ouverte.

Que sont les rootkits

Selon la classification de certains développeurs de logiciels antivirus, les rootkits ne constituent pas un type distinct de malware, mais un type plus avancé. Dans le même temps, si les chevaux de Troie se déguisent généralement en programmes utiles, les rootkits sont alors cachés de manière plus professionnelle - avec une pénétration profonde dans le système.

Il existe même des rootkits au niveau du noyau ; ils remplacent une partie du code du noyau du système d'exploitation ; le code modifié introduit par le rootkit cache un programme capable de contrôler à distance un ordinateur infecté.

D'autres rootkits ajoutent leur code à des bibliothèques ou à des pilotes courants, mais n'interrompent pas leur fonction principale.

Les versions modernes des rootkits sont capables de masquer à l'utilisateur des dossiers, des fichiers, des paramètres de registre système, des processus d'application en cours d'exécution, des services système, des pilotes et des connexions réseau. Le principe de leur fonctionnement repose sur la modification des données et du code du programme dans la mémoire du système. Pourquoi tout cela est-il fait ??

Principaux objectifs des rootkits

Un rootkit en soi n'est pas dangereux et, encore une fois, ce n'est pas un programme malveillant en soi - il ne se reproduit pas et, comme eux, ne détruit pas les données des utilisateurs et l'équipement informatique. Les rootkits ne cherchent pas à infecter d’autres ordinateurs via un réseau en pénétrant dans l’un d’entre eux, comme ils le font. La tâche d'un rootkit est de masquer les actions d'un autre programme malveillant opérant sur l'ordinateur. Un rootkit est comme le complice d’un criminel. Mais les actions d'un criminel - le programme le plus malveillant, par exemple un virus, un cheval de Troie ou - peuvent avoir des conséquences plus ou moins dangereuses. Cela peut consister à donner à un fraudeur l’accès à un ordinateur, à espionner les actions d’un utilisateur, à voler ses données confidentielles et à d’autres choses très désagréables dont les logiciels malveillants sont capables.

Par exemple, un rootkit peut servir d'outil auxiliaire pour introduire le cheval de Troie Backdoor dans le système d'exploitation, dont la tâche principale est de contrôler secrètement et complètement un ordinateur infecté qui se transforme en un véritable « zombie » ; son propriétaire, mais ne fonctionne que pour les attaquants en participant à diverses attaques DOS sur certaines ressources réseau.

Les rootkits ne sont pas toujours introduits dans un système sans autorisation. Les développeurs insèrent parfois légalement des rootkits dans des programmes utiles, sans oublier de s'assurer que l'utilisateur autorise leur installation avec le programme principal.

Une autre différence entre les rootkits et les autres types de logiciels malveillants est leur capacité à être implémentés non seulement sous Windows, mais également sous Linux, qui est considéré comme un système d'exploitation sûr en partie pour la simple raison que jusqu'à présent, les développeurs massifs de virus et de chevaux de Troie ne sont pas particulièrement intéressés. intéressé par son public d’utilisateurs. Certes, il est beaucoup plus difficile pour un rootkit de pénétrer sous Linux que sous Windows.

Signes d'un rootkit dans le système

Un rootkit introduit dans le système peut provoquer le blocage d'un ordinateur basse consommation. Mais ceci, je le souligne, n'est qu'une possibilité théorique qu'un rootkit ait pénétré dans l'ordinateur, car les appareils faibles peuvent avoir de nombreuses raisons.

Un autre signe qu'un système peut avoir un rootkit est l'envoi de données sur le réseau, à condition que tous les programmes et services système qui interagissent avec le réseau ne soient pas actifs. Encore une fois, ce n'est pas la méthode de diagnostic la plus fiable, car les rootkits, en règle générale, fonctionnent avec beaucoup de soin et vous devez toujours pouvoir saisir le moment de leur envoyer des données depuis l'ordinateur.

Malheureusement, il n’existe aucun signe évident spécifique aux rootkits. La présence de rootkits sur un ordinateur en dira bien plus que des signes extérieurs.

Comment se débarrasser des rootkits ?

Mes amis, la meilleure façon de détecter un rootkit est d'analyser un disque dur avec un Windows infecté à partir d'un autre système d'exploitation avec un antivirus, par exemple, retirer le disque dur et le connecter à un autre ordinateur avec un deuxième appareil (comme je l'ai fait) ou utilisez un disque de démarrage antivirus. Apprenez-en davantage sur la façon de se débarrasser des rootkits.

Les rootkits sont-ils plus dangereux que les virus ?

L’époque où les virus informatiques étaient considérés comme le ravageur le plus important est révolue depuis longtemps.

Aujourd'hui, il existe des applications malveillantes beaucoup plus dangereuses, appelées rootkits, créées par des pirates informatiques pour établir un accès à distance à votre ordinateur. Le pouvoir destructeur des rootkits réside dans leur invulnérabilité aux programmes antivirus et dans leur large diffusion.

A quoi sert un rootkit ?

En contournant le pare-feu, le rootkit crée une « porte dérobée » via des portes dérobées secrètes vers Internet, qui permet de créer une connexion à distance, d'installer des modules supplémentaires, de voler des mots de passe enregistrés sur l'ordinateur, de scanner les coordonnées bancaires des cartes plastiques, de désactiver l'anti- les applications virales, c'est-à-dire contrôlent l'ordinateur selon votre imagination.

A quoi servent les rootkits ?

Les pirates utilisent des rootkits pour prendre le contrôle à distance afin de créer des réseaux zombies, dont l'énorme puissance de calcul leur permet de mener des attaques DDoS d'une puissance sans précédent, d'effectuer des envois massifs de spam et d'obtenir des données sensibles - mots de passe, carnets d'adresses et fichiers.

Comment un rootkit pénètre-t-il dans un ordinateur ?

Fondamentalement, les rootkits pénètrent dans le système de la même manière que les virus classiques - via des fichiers joints au spam, via des lecteurs flash, ainsi que via des vulnérabilités dans les navigateurs et les plugins. Souvent, une clé USB contenant un rootkit est remise à une victime potentielle.

Après avoir pénétré dans un ordinateur, un rootkit pénètre profondément dans le système, remplaçant l'un des fichiers de la bibliothèque *.dll, obtenant une position privilégiée dans le système, restant indétectable par les programmes antivirus, installant des applications supplémentaires offrant un accès illimité au système. l'ordinateur de la victime.

Pourquoi les programmes antivirus ne trouvent-ils pas un rootkit ?

Les programmes antivirus identifient les logiciels malveillants par ce qu'on appelle des signatures - des chaînes de code spéciales contenues dans le corps du virus, ou par les caractéristiques de son comportement. La particularité des rootkits est qu'ils manipulent les processus d'échange de flux de données entre programmes, y compris les programmes antivirus, en remplaçant et en supprimant les données les concernant. Ainsi, l'antivirus reçoit l'information selon laquelle « tout va bien, aucune menace n'a été détectée ».

Comment supprimer les rootkits ?

La détection du code malveillant caché est une tâche très sérieuse et un antivirus classique ne peut pas y faire face. Pour ce faire, vous devez utiliser des programmes spéciaux spécialement écrits à ces fins.

Aujourd'hui, les programmes gratuits les plus efficaces pour détecter les rootkits sont AVG Anti-Roorkit. Chacun d'eux supprime le nombre maximum de parasites cachés. Le meilleur effet peut être obtenu en utilisant ces deux applications. D'autres programmes montrent des résultats insatisfaisants lorsqu'ils sont testés.