კომუნიკაციები და ინტერნეტი 

რას აკეთებენ rootkits? rootkits-ის გავრცელება და შენიღბვა. Kaspersky TDSSKiller rootkit-ის მოცილების პროგრამა ამავე სახელწოდების კომპანიისგან

კომპიუტერული ვირუსი შეიძლება ეწოდოს პროგრამას, რომელიც ფარულად მუშაობს და ზიანს აყენებს მთელ სისტემას ან მის ცალკეულ ნაწილს. ყოველ მეორე პროგრამისტს შეექმნა ეს პრობლემა. არ დარჩა კომპიუტერის არც ერთი მომხმარებელი, რომელმაც არ იცის რა

კომპიუტერული ვირუსების ტიპები:

  1. ჭიები. ეს არის პროგრამები, რომლებიც აფუჭებს სისტემას საკუთარი თავის მუდმივი რეპროდუცირებით და კოპირებით. რაც უფრო მეტია სისტემაში, მით უფრო ნელა მუშაობს. არ არსებობს გზა, რომ ჭია გაერთიანდეს ნებისმიერ უსაფრთხო პროგრამასთან. ის არსებობს ცალკე ფაილ(ებ)ის სახით.
  2. უვნებელთან შერწყმა და მათში შენიღბვა. ისინი არანაირ ზიანს არ აყენებენ კომპიუტერს, სანამ მომხმარებელი არ გაუშვებს ფაილს, რომელიც შეიცავს ტროას. ეს ვირუსები გამოიყენება მონაცემების წასაშლელად და შესაცვლელად.
  3. Spyware აგროვებს ინფორმაციას. მათი მიზანია აღმოაჩინონ კოდები და პაროლები და გადასცენ მათ, ვინც შექმნა და გაუშვა ინტერნეტში, სხვა სიტყვებით რომ ვთქვათ, მფლობელს.
  4. Zombie ვირუსები საშუალებას აძლევს ჰაკერს აკონტროლოს ინფიცირებული კომპიუტერი. მომხმარებელმა შეიძლება არც იცოდეს, რომ მისი კომპიუტერი ინფიცირებულია და ვიღაც იყენებს მას.
  5. დაბლოკვის პროგრამები ხელს უშლის სისტემაში შესვლას.

რა არის rootkit?

Rootkit არის ერთი ან მეტი პროგრამა, რომელიც მალავს არასასურველი აპლიკაციების არსებობას კომპიუტერზე და ეხმარება თავდამსხმელებს იმუშაონ შეუმჩნევლად. ის შეიცავს მავნე პროგრამის ფუნქციების აბსოლუტურად მთელ კომპლექტს. ვინაიდან ეს აპლიკაცია ხშირად მდებარეობს სისტემის სიღრმეში, უკიდურესად რთულია მისი აღმოჩენა ანტივირუსის ან უსაფრთხოების სხვა საშუალებების გამოყენებით. Rootkit არის პროგრამული უზრუნველყოფის ინსტრუმენტების ნაკრები, რომელსაც შეუძლია წაიკითხოს შენახული პაროლები, სკანირება მოახდინოს სხვადასხვა მონაცემებს და ასევე გამორთოს კომპიუტერის უსაფრთხოება. გარდა ამისა, არსებობს backdoor ფუნქცია, რაც ნიშნავს, რომ პროგრამა ჰაკერს აძლევს კომპიუტერთან დისტანციიდან დაკავშირების შესაძლებლობას.

სხვა სიტყვებით რომ ვთქვათ, rootkit არის პროგრამა, რომელიც პასუხისმგებელია სისტემის ფუნქციების ჩარევაზე. Windows ოპერაციული სისტემისთვის შესაძლებელია შემდეგი პოპულარული rootkits იდენტიფიცირება: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.

ჯიშები

ამ ვირუსის პროგრამების რამდენიმე ვარიანტი არსებობს. ისინი შეიძლება დაიყოს ორ კატეგორიად: მომხმარებლის რეჟიმი (მომხმარებელი) და ბირთვის რეჟიმი (კერნელი დონის rootkits). პირველი კატეგორიის კომუნალურ პროგრამებს აქვთ იგივე შესაძლებლობები, რაც ჩვეულებრივ აპლიკაციებს, რომლებიც შეიძლება გაშვებული იყოს მოწყობილობაზე. მათ შეუძლიათ გამოიყენონ უკვე გაშვებული პროგრამების მეხსიერება. ეს არის ყველაზე პოპულარული ვარიანტი. მეორე კატეგორიის Rootkits განლაგებულია სისტემის სიღრმეში და აქვს სრული წვდომა კომპიუტერზე. თუ ასეთი პროგრამა დაინსტალირებულია, მაშინ ჰაკერს შეუძლია გააკეთოს თითქმის ის, რაც სურს თავდასხმულ მოწყობილობას. ამ დონის Rootkits-ის შექმნა ბევრად უფრო რთულია, რის გამოც პირველი კატეგორია უფრო პოპულარულია. მაგრამ ბირთვის დონის ვირუსული პროგრამის პოვნა და ამოღება სულაც არ არის ადვილი და კომპიუტერული ვირუსებისგან დაცვა ხშირად აქ სრულიად უძლურია.

არსებობს rootkits-ის სხვა, უფრო იშვიათი ვარიანტები. ამ პროგრამებს Bootkits ეწოდება. მათი მუშაობის არსი არის ის, რომ ისინი აკონტროლებენ მოწყობილობას სისტემის დაწყებამდე დიდი ხნით ადრე. სულ ახლახან შეიქმნა rootkits, რომლებიც თავს ესხმიან Android სმარტფონებს. ჰაკერული ტექნოლოგიები ვითარდება ისევე, როგორც კომპიუტერული პროგრამული უზრუნველყოფა - ისინი აგრძელებენ დროს.

ხელნაკეთი rootkits

ინფიცირებული კომპიუტერების დიდი რაოდენობა განლაგებულია ეგრეთ წოდებულ ზომბი ქსელში და გამოიყენება სპამის გაგზავნისთვის. ამავდროულად, ამ კომპიუტერების მომხმარებლებს ეჭვი არ ეპარებათ ასეთ "აქტივობაში". დღემდე გავრცელებული იყო აზრი, რომ ამ ქსელების შექმნა მხოლოდ პროფესიონალ პროგრამისტებს შეეძლოთ. მაგრამ ძალიან მალე ყველაფერი შეიძლება მკვეთრად შეიცვალოს. თქვენ შეგიძლიათ რეალურად იპოვოთ უფრო და უფრო მეტი ინსტრუმენტი ვირუსული პროგრამების შესაქმნელად ინტერნეტში. მაგალითად, ნაკრების გამოყენებით, სახელად Pinch, შეგიძლიათ მარტივად შექმნათ rootkit. ამ მავნე პროგრამის საფუძველი იქნება Pinch Builder Trojan, რომელიც შეიძლება გაუმჯობესდეს სხვადასხვა ფუნქციებით. ამ აპლიკაციას შეუძლია ადვილად წაიკითხოს პაროლები ბრაუზერებში, ამოიცნოს შეყვანილი მონაცემები და გაუგზავნოს ისინი თაღლითებს და ჭკვიანურად დამალოს თავისი ფუნქციები.

მოწყობილობის ინფიცირების გზები

თავდაპირველად, rootkits სისტემაში შედის ისევე, როგორც სხვა ვირუსული პროგრამები. თუ დანამატი ან ბრაუზერი დაუცველია, აპლიკაციისთვის თქვენს კომპიუტერში მოხვედრა რთული არ იქნება. ამ მიზნებისათვის ხშირად გამოიყენება ფლეშ დრაივები. ზოგჯერ ჰაკერები უბრალოდ ტოვებენ ფლეშ დრაივებს ხალხმრავალ ადგილებში, სადაც ადამიანს შეუძლია ინფიცირებული მოწყობილობა თან წაიღოს. ასე ხვდება rootkit მსხვერპლის კომპიუტერში. ეს განაპირობებს იმას, რომ აპლიკაცია გამოიყენებს სისტემის სისუსტეებს და ადვილად მოიპოვებს მასში დომინირებას. შემდეგ პროგრამა აყენებს დამხმარე კომპონენტებს, რომლებიც გამოიყენება კომპიუტერის დისტანციიდან გასაკონტროლებლად.

ფიშინგი

ხშირად სისტემა ინფიცირდება ფიშინგით. არალიცენზირებული თამაშებისა და პროგრამების ჩამოტვირთვის პროცესში თქვენს კომპიუტერში კოდის მოხვედრის დიდი შესაძლებლობაა. ძალიან ხშირად ის შენიღბულია ფაილად, სახელად Readme. არასოდეს უნდა დავივიწყოთ დაუდასტურებელი საიტებიდან გადმოწერილი პროგრამული უზრუნველყოფისა და თამაშების საფრთხე. ყველაზე ხშირად, მომხმარებელი დამოუკიდებლად უშვებს rootkit-ს, რის შემდეგაც პროგრამა დაუყოვნებლივ მალავს მისი აქტივობის ყველა ნიშანს და მისი მოგვიანებით აღმოჩენა ძალიან რთულია.

რატომ არის ძნელი ამოსაცნობი rootkit?

ეს პროგრამა წყვეტს მონაცემებს სხვადასხვა აპლიკაციებიდან. ზოგჯერ ანტივირუსი დაუყოვნებლივ აღმოაჩენს ამ მოქმედებებს. მაგრამ ხშირად, როდესაც მოწყობილობა უკვე ინფიცირებულია, ვირუსი ადვილად მალავს ყველა ინფორმაციას კომპიუტერის მდგომარეობის შესახებ, ხოლო აქტივობის კვალი უკვე გაქრა და ინფორმაცია ყველა მავნე პროგრამული უზრუნველყოფის შესახებ წაშლილია. ცხადია, ასეთ სიტუაციაში ანტივირუსს არ აქვს საშუალება აღმოაჩინოს rootkit-ის ნიშნები და შეეცადოს აღმოფხვრას იგი. მაგრამ, როგორც პრაქტიკა გვიჩვენებს, მათ შეუძლიათ ასეთი თავდასხმების შეკავება. და კომპანიები, რომლებიც აწარმოებენ უსაფრთხოების პროგრამულ უზრუნველყოფას, რეგულარულად ახლებენ თავიანთ პროდუქტებს და ამატებენ საჭირო ინფორმაციას ახალი დაუცველობის შესახებ.

მოძებნეთ rootkits თქვენს კომპიუტერში

ამის საპოვნელად შეგიძლიათ გამოიყენოთ სხვადასხვა კომუნალური საშუალებები, რომლებიც სპეციალურად შექმნილია ამ მიზნებისათვის. Kaspersky Anti-Virus კარგად უმკლავდება ამ ამოცანას. თქვენ უბრალოდ უნდა შეამოწმოთ თქვენი მოწყობილობა ყველა სახის დაუცველობისა და მავნე პროგრამისთვის. ასეთი შემოწმება ძალიან მნიშვნელოვანია სისტემის დასაცავად ვირუსებისგან, მათ შორის rootkits-ისგან. სკანირება აღმოაჩენს მავნე კოდს, რომელიც არასასურველი პროგრამის დაცვამ ვერ აღმოაჩინა. გარდა ამისა, ძიება ხელს უწყობს ოპერაციული სისტემის დაუცველობის პოვნას, რომლის მეშვეობითაც თავდამსხმელებს შეუძლიათ გაავრცელონ მავნე პროგრამები და ობიექტები. ეძებთ შესაფერის დაცვას? Kaspersky საკმაოდ შესაფერისია თქვენთვის. Rootkit-ის აღმოჩენა შესაძლებელია თქვენს სისტემაში ამ ვირუსების პერიოდული სკანირებით.

ასეთი აპლიკაციების უფრო დეტალურად მოსაძებნად, თქვენ უნდა დააკონფიგურიროთ თქვენი ანტივირუსი, რათა შეამოწმოთ ყველაზე მნიშვნელოვანი სისტემის ფაილების მოქმედება ყველაზე დაბალ დონეზე. ასევე ძალიან მნიშვნელოვანია ანტივირუსის თვითდაცვის მაღალი დონის უზრუნველსაყოფად, რადგან rootkit-ს შეუძლია მისი მარტივად გამორთვა.

დისკების შემოწმება

იმისათვის, რომ დარწმუნდეთ, რომ თქვენი კომპიუტერი უსაფრთხოა, თქვენ უნდა შეამოწმოთ ყველა პორტატული დისკი, როდესაც ჩართავთ მათ. Rootkits ადვილად შეაღწევს თქვენს ოპერაციულ სისტემაში მოსახსნელი დისკების ან ფლეშ დრაივების მეშვეობით. Kaspersky Anti-Virus აკონტროლებს აბსოლუტურად ყველა მოსახსნელ მოწყობილობას, როდესაც ისინი დაკავშირებულია მოწყობილობასთან. ამისათვის თქვენ უბრალოდ უნდა დააყენოთ დისკის სკანირება და დარწმუნდით, რომ განაახლეთ ანტივირუსი.

rootkit-ის ამოღება

ამ მავნე აპლიკაციებთან ბრძოლაში ბევრი გამოწვევაა. მთავარი პრობლემა ის არის, რომ ისინი საკმაოდ წარმატებულნი არიან წინააღმდეგობის გაწევაში რეესტრის გასაღებების და ყველა მათი ფაილის დამალვით, რომ ანტივირუსული პროგრამები ვერ პოულობენ მათ. არსებობს დამხმარე პროგრამები rootkits-ის მოსაშორებლად. ეს კომუნალური პროგრამები შეიქმნა მავნე პროგრამების მოსაძებნად სხვადასხვა მეთოდების გამოყენებით, მათ შორის მაღალ სპეციალიზებული მეთოდების გამოყენებით. შეგიძლიათ ჩამოტვირთოთ საკმაოდ ეფექტური პროგრამა სახელწოდებით Gmer. ის დაგეხმარებათ გაანადგუროთ ყველაზე ცნობილი rootkits. თქვენ ასევე შეგიძლიათ რეკომენდაცია გაუწიოთ AVZ პროგრამას. ის წარმატებით ამოიცნობს თითქმის ნებისმიერ rootkit-ს. როგორ ამოიღოთ საშიში პროგრამა ამ პროგრამის გამოყენებით? ეს არ არის რთული: ჩვენ ვაყენებთ საჭირო პარამეტრებს (კომუნალურ პროგრამას შეუძლია ან გაგზავნოს ინფიცირებული ფაილები კარანტინში ან წაშალოს ისინი დამოუკიდებლად), შემდეგ შეარჩიეთ სკანირების ტიპი - სრული კომპიუტერის მონიტორინგი ან ნაწილობრივი. შემდეგ ჩვენ თვითონ ვაწარმოებთ ტესტს და ველოდებით შედეგებს.

სპეციალური პროგრამა TDSSkiller ეფექტურად ებრძვის TDSS აპლიკაციას. AVG Anti-Rootkit დაგეხმარებათ ამოიღონ დარჩენილი rootkits. ასეთი ასისტენტების გამოყენების შემდეგ ძალზე მნიშვნელოვანია სისტემის დაინფიცირების შემოწმება ნებისმიერი ანტივირუსის გამოყენებით. Kaspersky Internet Security მშვენივრად გაუმკლავდება ამ ამოცანას. უფრო მეტიც, ამ პროგრამას შეუძლია ამოიღოს უფრო მარტივი rootkits მისი დეზინფექციის ფუნქციით.

უნდა გახსოვდეთ, რომ უსაფრთხოების ნებისმიერი პროგრამული უზრუნველყოფით ვირუსების ძიებისას არ უნდა გახსნათ რაიმე აპლიკაცია ან ფაილი თქვენს კომპიუტერში. მაშინ შემოწმება უფრო ეფექტური იქნება. ბუნებრივია, უნდა გახსოვდეთ ანტივირუსული პროგრამის რეგულარულად განახლება. იდეალური ვარიანტია ყოველდღიური ავტომატური (პარამეტრებში მითითებული) პროგრამის განახლება, რომელიც ხდება ინტერნეტთან დაკავშირებისას.

Rootkit არის მავნე პროგრამა (პროგრამა), რომელიც საშუალებას გაძლევთ დამალოთ ვირუსის (მავნე პროგრამის) კვალი სისტემაში.

Rootkit ინსტალირებულია როგორც კი ის მიიღებს წვდომას თავდასხმულ სისტემაზე - კომპიუტერზე ან ლეპტოპზე.

Rootkits არა მხოლოდ ცდილობენ თავად იყვნენ უხილავი, არამედ მალავენ სხვადასხვა ვირუსებს, რომლებმაც შეძლეს შეაღწიონ კომპიუტერულ სისტემაში. უსაფრთხოების პროგრამებისთვის შეუმჩნეველი, ისინი თავს ესხმიან კომპიუტერს. ამრიგად, rootkits-ს შეუძლია მომხმარებლის პერსონალური მონაცემების (ლოგინი და პაროლები) გადაცემა ჰაკერებისთვის, სხვა ვირუსების დაყენება და ა.შ.

Rootkits განსხვავდება მათი შესრულებით და მათი გამუდმებით გააქტიურებით.

    შესრულების მეთოდიდან გამომდინარე, rootkits იყოფა:
  • 1. Rootkits, რომლებიც ცვლის ოპერაციული სისტემის ბირთვის მონაცემთა სტრუქტურას;
  • 2. მომხმარებლის რეჟიმის rootkits, ამ შემთხვევაში სისტემის ინფორმაცია იკვეთება.
    გააქტიურების თანმიმდევრულობიდან გამომდინარე, ისინი განასხვავებენ:
  • 1. მუდმივი rootkits, რომლებიც გააქტიურებულია სისტემის ყოველ ჯერზე დაწყებისას;
  • 2. არა მდგრადი rootkits, რომლებიც ვერ დაიწყება დამოუკიდებლად ოპერაციული სისტემის გადატვირთვის შემდეგ.

Rootkits კომპიუტერებში სხვადასხვა გზით ხვდება. მომხმარებელს შეუძლია დააინფიციროს თავისი კომპიუტერი, თუ ისინი ეწვევიან ინფიცირებულ ვებსაიტს, რომელიც ექვემდებარება ჰაკერულ შეტევას. ზოგჯერ rootkit შეიძლება იყოს ელფოსტაში, შენიღბული, როგორც თანდართული დოკუმენტი. მომხმარებელი, რომელიც ცდილობს ასეთი დოკუმენტის გახსნას, რეალურად ააქტიურებს მავნე პროგრამას და აინფიცირებს მათ კომპიუტერს. როგორც წესი, rootkit ცვლის ზოგიერთი ოპერაციული სისტემის ბიბლიოთეკას - ფაილს *.dll გაფართოებით, ასე რომ მისი აღმოჩენა ძნელი ხდება და მას ადვილად შეუძლია ჩამოტვირთოთ სხვადასხვა ვირუსული პროგრამები კომპიუტერზე ან ლეპტოპზე, რომლის შესახებაც მომხმარებელმა არ იცის.

თქვენი კომპიუტერის rootkits-ისგან დაცვის მრავალი გზა არსებობს. პირველ რიგში, ეს მოიცავს უსაფრთხოების პროგრამების ინსტალაციას: მაღალი ხარისხის ანტივირუსი და firewall. ანტივირუსული პროგრამა უნდა იყოს ლიცენზირებული და ყოველთვის აქტიური, ხოლო firewall დაიცავს მომხმარებლის კომპიუტერს არასასურველი წვდომისგან. მომხმარებელმა უნდა უზრუნველყოს ანტივირუსული პროგრამების რეგულარულად განახლება.

თუმცა, თქვენი კომპიუტერის დაცვა rootkits-ისგან არც ისე მარტივია, როგორც ერთი შეხედვით ჩანს. ანტივირუსულ პროგრამას შეუძლია ამოიცნოს rootkit მხოლოდ მაშინ, როდესაც ის არააქტიურია. მაგრამ როგორც კი მომხმარებელი, ამის ცოდნის გარეშე, ააქტიურებს rootkit-ს, ის აქტიურდება და სისტემაში შეაღწევს და ანტივირუსი ვეღარ ამოიცნობს მას. Rootkit-ის გააქტიურების შემდეგ, მხოლოდ სპეციალურ პროგრამებს შეუძლიათ მისი აღმოჩენა, მაგალითად, AVG Anti-Rootkit, Gmer და სხვა.

Rootkits არის ახალი ტიპის მავნე პროგრამა, რომელიც ბევრად უფრო საშიშია, ვიდრე ჩვეულებრივი ვირუსები. მათი დახმარებით ჰაკერები აინფიცირებენ კომპიუტერებს და ინტერნეტის საშუალებით იღებენ წვდომას მომხმარებლის კონფიდენციალურ ინფორმაციას ინფიცირებული კომპიუტერებისგან, რაც მათ საშუალებას აძლევს მოაწყონ მასიური ჰაკერული შეტევები გლობალური ქსელის სხვადასხვა ელექტრონულ რესურსებზე.

ვირუსები სულ უფრო და უფრო დახვეწილია. მავნე პროგრამა, რომელიც უბრალოდ არღვევდა მონაცემებს, დიდი ხანია შეიცვალა ინსტრუმენტებით, რომლებიც თავდამსხმელებს აკონტროლებენ თქვენს კომპიუტერს. ეს ინფიცირებული კომპიუტერები დიდი ხანია გამოიყენება მთელი ქსელების შესაქმნელად, რომლებიც ასრულებენ სხვადასხვა ამოცანებს (სპამის გაგზავნა, DDOS შეტევების ორგანიზება). თუმცა, იმისათვის, რომ მიიღოთ წვდომა დისტანციურ კომპიუტერზე, ჯერ უნდა დააინსტალიროთ მასში გარკვეული საკონტროლო პროგრამა. ეს არის ის, რასაც ვირუსები აკეთებენ. თქვენ შეიძლება იკითხოთ: "როგორ გვერდს უვლიან ანტივირუსულ პროგრამებს?" საკმაოდ ბევრი გზა გამოიგონეს. ერთ-ერთი მათგანია ე.წ. rootkits-ის გამოყენება.

Rootkit - ინფექციის ფაქტის დამალვის საშუალება

Rootkit საერთოდ არ არის ვირუსი, როგორც ზოგიერთს სჯერა. მას თავად არავითარი ზიანი არ მოაქვს. Rootkit არის მხოლოდ პროგრამა ან პროგრამული უზრუნველყოფის ინსტრუმენტების ნაკრები სისტემაში რიგი ობიექტების ან გარკვეული ტიპის აქტივობის დასამალად. რეესტრის გასაღებები, რომლებიც პასუხისმგებელნი არიან მავნე კოდის ავტომატურად გაშვებაზე, ჩვეულებრივ ექვემდებარება ასეთ ნიღბვას; ფაილები, რომლებიც შეიცავს ვირუსის ხელმოწერებს ან ვირუსის სხეულს; ვირუსის ქსელის კავშირები; აქტიური პროცესები ინფიცირებულ სისტემაში, ისევე როგორც მავნე მოქმედების სხვა გამოვლინებები. ამრიგად, rootkits ახანგრძლივებს მავნე კოდის ოპერაციულ დროს, სანამ ის აღმოჩენილი იქნება ანტივირუსების ან ყურადღებიანი მომხმარებლის მიერ, რაც ართულებს აღმოჩენას.

სინამდვილეში, სიტუაცია საკმაოდ ტიპიურია. როგორც ჩანს, კომპიუტერი კარგად არის. ანტივირუსი დუმს, გაშვების სია სუფთა და მოწესრიგებულია, არ არის ზედმეტი პროცესები. თუმცა, სწორედ ამ დროს, თქვენს კომპიუტერს შეუძლია ჩუმად გაგზავნოს სპამი, მონაწილეობა მიიღოს საიტებზე თავდასხმებში და ა.შ. "საყვარელი ხუმრობები" ეს მდგომარეობა შეიძლება გაგრძელდეს დიდი ხნის განმავლობაში. თუნდაც წლების განმავლობაში!

თავად ტერმინი "rootkit" (ინგლისური ვერსია არის rootkit) ჩამოყალიბდა UNIX ოპერაციული სისტემების მომხმარებლებს შორის. ეს იყო კომუნალური საშუალებების ნაკრების სახელი ან თუნდაც სპეციალური სისტემის ბირთვის მოდული, რომელიც დაინსტალირებული იყო გატეხილ სისტემაზე მას შემდეგ, რაც ჰაკერმა მოიპოვა root (სუპერ მომხმარებლის) უფლებები. ასეთმა „ჯენტლმენურმა“ კომპლექტმა შესაძლებელი გახადა გატეხილი სისტემის ფრთხილი კონტროლის ქვეშ შენარჩუნება. სწორედ ამ მიზნით, rootkit მოიცავდა კომუნალურ პროგრამებს სისტემაში შეჭრის ფაქტის შენიღბვის მიზნით.

კარგად დაიძინეთ, ბაღდადის მაცხოვრებლებო, ან როგორ იცვამენ თავს rootkits?

თანამედროვე ანტივირუსული პროგრამების უმეტესობა ცნობს მავნე პროგრამულ უზრუნველყოფას ეგრეთ წოდებული „ხელმოწერებით“. ისინი ვირუსის სხეულში შემავალი კოდის დამახასიათებელი სპეციფიკური ჯაჭვებია. სწორედ ეს ხელმოწერები ქმნიან, უმეტესწილად, ანტივირუსული მონაცემთა ბაზებს, რომლებსაც ჩვენ ჩამოვტვირთავთ მწარმოებლის ვებსაიტებიდან. ასეთი კოდის ჯაჭვები არის ვირუსების, ტროიანების და ა.შ. განსაკუთრებული ნიშნები. საზიზღარი რამ, რომლითაც ანტივირუსულ პროგრამას შეუძლია მავნე პროგრამის იდენტიფიცირება, რათა გაანადგუროს იგი.

კარგ ანტივირუსებს ასევე აქვთ ეგრეთ წოდებული „ევრისტული“ ანალიზის განყოფილება, რომელსაც შეუძლია მავნე პროგრამული უზრუნველყოფის ამოცნობა მისი ქცევის მრავალი მახასიათებლის მიხედვით. ასეთი „დამახასიათებელი“ მოქმედებების სია საკმაოდ დიდია და მოიცავს დიაპაზონს ნებისმიერი სახის ფაილების მარტივი წაშლიდან სისტემის ბირთვში მზაკვრულ ცვლილებებამდე ან სისტემის მნიშვნელოვანი ფაილების ან ბილიკების ჩანაცვლებამდე. რაც უფრო დახვეწილი ხდებიან ვირუსები, მით მეტი განშტოებული ალგორითმები უნდა აშენდეს ანტივირუსული ინსტრუმენტების შემქმნელი პროგრამისტების მიერ ევრისტიკული ანალიზისთვის.

როგორ შეუძლია rootkit-მა დაამარცხოს ასეთი მრავალშრიანი დაცვა? ამისათვის ისინი მანიპულირებენ აპლიკაციებს შორის მონაცემთა გაცვლის პროცესებს. Rootkits უბრალოდ აშორებს ინფორმაციას საკუთარ თავზე და მავნე პროგრამულ უზრუნველყოფას, რომელსაც ისინი „იცავენ“ ამ პროცესებიდან. ამ შემთხვევაში, ანტივირუსული პროგრამა იღებს მიზანმიმართულად ცრუ ინფორმაციას სისტემის სრული ჯანმრთელობის შესახებ. არც ბლოკი, რომელიც ადარებს ხელმოწერებს და არც ევრისტიკული ბლოკი უბრალოდ არ იღებს მონაცემებს, რამაც შეიძლება გამოიწვიოს განგაში.

როგორ ხვდება rootkits კომპიუტერში?

ასეთი პროგრამების გავრცელების უამრავი ვარიანტი არსებობს. Rootkit შეიძლება მოხვდეს თქვენს კომპიუტერში ელფოსტაზე მიმაგრებული ფაილის საშუალებით, ის შეიძლება მოტანილი იქნეს ფლეშ დრაივზე არასაეჭვო მეგობარმა ინფიცირებული ან ყალბი DOC ან PDF დოკუმენტის სახით, მისი ჩამოტვირთვა შესაძლებელია ინტერნეტიდან ერთად უფასო თამაში ან სხვა პროგრამული უზრუნველყოფა (ეს განსაკუთრებით ხშირად ხდება, როდესაც პროგრამები ჩამოტვირთულია არა დეველოპერის ვებსაიტიდან ან ცნობილი სანდო პროგრამული არქივიდან, არამედ სხვადასხვა „მეკობრული“ საიტებიდან). ამ მეთოდებს ერთი საერთო აქვთ - მომხმარებელი თავად უშვებს rootkit-ს კომპიუტერზე, ისე, რომ არ აცნობიერებს რას აკეთებს. სხვათა შორის, სანამ rootkit არ მუშაობს და ლატენტურ მდგომარეობაშია დოკუმენტის სახით, ის ხდება მარტივი მტაცებელი ანტივირუსების უმეტესობისთვის. თუმცა, გაშვების შემდეგ, ის მაშინვე წყვეტს სისტემის პროცესებს და მისი დაჭერა საკმაოდ პრობლემური ხდება.

Rootkits-ის გავრცელების კიდევ ერთი ძალიან გავრცელებული გზაა სხვადასხვა ინტერნეტ საიტები. ეს შეიძლება იყოს საკმაოდ წესიერი საიტები, რომელთა მფლობელებს არც კი აქვთ ეჭვი, რომ მათი გონება გატეხილია და ავრცელებს ინფექციას, ან შეიძლება იყოს სპეციალურად შექმნილი საიტები rootkits-ის გასავრცელებლად. ამ შემთხვევაში, მომხმარებელმა უბრალოდ უნდა გახსნას საიტის ვებ გვერდი, რის შემდეგაც rootkit შედის მის კომპიუტერში. ეს შესაძლებელია მრავალი ბრაუზერის უსაფრთხოების სისტემაში "ხვრელების" არსებობის გამო. ეს განსაკუთრებით ხშირად ხდება, როდესაც ბრაუზერი რეგულარულად არ განახლდება.

როგორ მოვიშოროთ rootkits?

მაგრამ ამის შესახებ ჩვენ ვისაუბრებთ თქვენთან ერთად შემდეგ სტატიაში, რომელსაც ეწოდა "".

გამარჯობა მეგობრებო, ახლა ცხოვრებიდან მარტივი მაგალითით აგიხსნით რა არის rootkits. ერთხელ ჩემმა მეგობარმა მომმართა დახმარებისთვის, პრობლემა ის იყო, რომ მას ე.წ. საინტერესოა, რომ ჩემს მეგობარს წარმოდგენა არ ჰქონდა, რა იყო ეს და როგორ გაუმკლავდა მას. პროვაიდერის ოპერატორმა უბრალოდ უთხრა ჩემს მეგობარს, რომ ის ავრცელებს სამაუწყებლო პაკეტებს ქსელის ყველა მომხმარებელს წუთში 7000-9000 პაკეტების სიჩქარით და ეს ამცირებს საერთო ქსელის გამტარუნარიანობას. ჩემი მეგობრის ოპერაციული სისტემა იყო Windows XP.

რა არის სამაუწყებლო ტრაფიკი? ეს არის ინფორმაციის პაკეტები, რომლებიც განკუთვნილია ქსელის ყველა კომპიუტერისთვის. ნორმალურ რეჟიმში, ქსელში ერთი კომპიუტერი აგზავნის 15 ასეთ პაკეტს წუთში, მაგრამ ჩემი მეგობრის კომპიუტერი აგზავნის 9000 პაკეტს წუთში და უბრალოდ გათიშულია ქსელიდან, რჩევით, რომ ხელახლა დააინსტალიროთ დრაივერი ქსელის ადაპტერზე ან მთელ ოპერაციულ სისტემაზე. და ფაქტობრივად, ასეთი პაკეტების გამოჩენის მიზეზი არის გაუმართავი ქსელის ადაპტერის დრაივერი, თავად ქსელის ადაპტერი, გაუმართავი Windows, ან... ვირუსები!

დრაივერის ხელახლა დაყენებამ არაფერი მისცა და არც ახალი ქსელის ადაპტერის დაყენებამ PCI სლოტში უშველა, მაგრამ ვინდოუსის ხელახლა დაყენებამ ზუსტად ორი დღე გამოიღო ნაყოფი, მერე ჩემი მეგობარი ისევ გათიშული იყო სამყაროდან იმავე წყალდიდობის გამო.

რა უნდა გააკეთოს? უპირველეს ყოვლისა, გადავწყვიტე კომპიუტერის შემოწმება ვირუსებზე, შედეგი უარყოფითი იყო და ვერაფერი ვიპოვე, საბოლოოდ გადავწყვიტე Windows XP-ის შემოწმება დადასტურებული RootkitRevealer პროგრამის გამოყენებით Mark Russinovich-ისგან, ეს პროგრამა არ შლის rootkits-ს, არამედ მხოლოდ ამოიცნობს მათ და მან იპოვა რამდენიმე rootkits!

შენიშვნა: RootkitRevealer არ მუშაობს 64-ბიტიან ოპერაციულ სისტემებზე, ასევე არ გირჩევთ მის გაშვებას Windows 7, 8, 10, უმჯობესია პროგრამებთან მუშაობა: .

მე მომიწია ჩემი მეგობრის მყარი დისკის გათიშვა და მეორე კომპიუტერთან დაკავშირება, შემდეგ მისი C: დისკის სკანირება TDSSKiller უტილიტათი, რამაც გაანადგურა ეს rootkits. მაგრამ თავად rootkits არ ავრცელებენ სამაუწყებლო პაკეტებს, ისინი მხოლოდ მალავენ ნაძირალას, ვინც ამას აკეთებს. ჩემი მეგობრის მყარი დისკის ჩემი ანტივირუსით შემოწმების შემდეგ, ვიპოვე რამდენიმე ჭია, და ისინი იყვნენ ის, ვინც „დაბზარავდა“ ქსელში, აგზავნიდა სამაუწყებლო ან მულტიკასტის პაკეტებს, ცდილობდა გაეკეთებინა ხვრელი ქსელის სხვა კომპიუტერებში და აინფიცირებდა მათ. რაც უფრო მეტ კომპიუტერს აინფიცირებთ, მით უკეთესი, რადგან თქვენ მიიღებთ ბოტნეტს - რომელიც შედგება მრავალი კომპიუტერისგან, რომელიც შეიძლება გამოყენებულ იქნას DOS შეტევისთვის ქსელის ნებისმიერ რესურსზე.

მოგვიანებით, ზუსტად დავადგინეთ, როგორ მოხვდა rootkits ჩემი მეგობრის კომპიუტერში - გატეხილი კომპიუტერული სათამაშოს მეშვეობით, რომელიც ჩემმა მეგობარმა გადმოტვირთა ღია რესურსიდან.

რა არის rootkits

ზოგიერთი ანტივირუსული პროგრამის შემქმნელის კლასიფიკაციის მიხედვით, rootkits არ არის მავნე პროგრამის ცალკეული ტიპი, მაგრამ უფრო მოწინავე ტიპია. ამავდროულად, თუ ტროასები, როგორც წესი, შენიღბავს თავს სასარგებლო პროგრამებად, მაშინ rootkits უფრო პროფესიონალურად იმალება - სისტემაში ღრმა შეღწევით.

არსებობს კიდეც ბირთვის დონის rootkits, ისინი ცვლის ოპერაციული სისტემის ბირთვის კოდის ნაწილს.

სხვა rootkits ამატებენ თავიანთ კოდს ჩვეულებრივ ბიბლიოთეკებს ან დრაივერებს, მაგრამ არ არღვევენ მათ მთავარ ფუნქციას.

Rootkits-ის თანამედროვე ვერსიებს შეუძლიათ მომხმარებლისგან დამალონ საქაღალდეები, ფაილები, სისტემის რეესტრის პარამეტრები, გაშვებული განაცხადის პროცესები, სისტემური სერვისები, დრაივერები და ქსელური კავშირები. მათი მოქმედების პრინციპი ემყარება მონაცემთა და პროგრამის კოდის შეცვლას სისტემის მეხსიერებაში. რატომ კეთდება ეს ყველაფერი??

rootkits-ის ძირითადი მიზნები

Rootkit თავისთავად არ არის საშიში და, კიდევ ერთხელ, ის თავისთავად არ არის მავნე პროგრამა - ის არ მრავლდება და არც მათ მსგავსად ანადგურებს მომხმარებლის მონაცემებსა და კომპიუტერულ აღჭურვილობას. Rootkits არ ცდილობს სხვა კომპიუტერების დაინფიცირებას ქსელის მეშვეობით ერთ-ერთ მათგანში შეღწევით, როგორც ამას აკეთებენ. Rootkit-ის ამოცანაა სხვა მავნე პროგრამის მოქმედებების დამალვა, რომელიც მუშაობს კომპიუტერზე. Rootkit ჰგავს კრიმინალის თანამონაწილეს. მაგრამ კრიმინალის ქმედებებს - ყველაზე მავნე პროგრამას, მაგალითად, ვირუსს, ტროას ან - შეიძლება ჰქონდეს სხვადასხვა ხარისხის საფრთხის შედეგები. ეს შეიძლება იყოს თაღლითისთვის კომპიუტერთან წვდომის მიცემა, მომხმარებლის ქმედებების თვალთვალის, მისი კონფიდენციალური მონაცემების მოპარვა და სხვა ძალიან უსიამოვნო რამ, რაც მავნე პროგრამას შეუძლია.

მაგალითად, rootkit შეიძლება იყოს დამხმარე ინსტრუმენტი Backdoor Trojan-ის ოპერაციულ სისტემაში დანერგვისთვის, რომლის მთავარი ამოცანაა ინფიცირებული კომპიუტერის ფარულად და სრულად კონტროლი, რომელიც გადაიქცევა ნამდვილ „ზომბად“; მისი მფლობელი საერთოდ, მაგრამ მუშაობს მხოლოდ თავდამსხმელებისთვის გარკვეული ქსელის რესურსებზე სხვადასხვა DOS შეტევებში მონაწილეობით.

Rootkits ყოველთვის არ შედის სისტემაში ავტორიზაციის გარეშე. დეველოპერები ზოგჯერ ლეგალურად ათავსებენ rootkits-ს სასარგებლო პროგრამებში, არ უნდა დაგვავიწყდეს, რომ დარწმუნდნენ, რომ მომხმარებელი უშვებს მათ ინსტალაციას მთავარ პროგრამასთან ერთად.

კიდევ ერთი განსხვავება rootkits-სა და სხვა ტიპის მავნე პროგრამას შორის არის არა მხოლოდ Windows-ში, არამედ Linux-ში განხორციელების შესაძლებლობა, რომელიც ითვლება უსაფრთხო ოპერაციულ სისტემად ნაწილობრივ იმ მარტივი მიზეზის გამო, რომ ჯერჯერობით ვირუსების და ტროასების მასიური დეველოპერები არ არიან განსაკუთრებით. დაინტერესებულია მისი მომხმარებლის აუდიტორიით. მართალია, rootkit-ისთვის გაცილებით რთულია Linux-ში შეღწევა, ვიდრე Windows-ში.

სისტემაში rootkit-ის ნიშნები

სისტემაში შეყვანილმა rootkit-მა შეიძლება გამოიწვიოს დაბალი სიმძლავრის კომპიუტერის გაყინვა. მაგრამ ეს, ხაზს ვუსვამ, მხოლოდ თეორიული შესაძლებლობაა, რომ rootkit-მა შეაღწია კომპიუტერში, რადგან სუსტი მოწყობილობების მრავალი მიზეზი შეიძლება იყოს.

კიდევ ერთი ნიშანი იმისა, რომ სისტემას შეიძლება ჰქონდეს rootkit არის ის, როდესაც მონაცემები იგზავნება ქსელში, იმ პირობით, რომ ყველა პროგრამა და სისტემური სერვისი, რომლებიც ურთიერთქმედებენ ქსელთან, არ არის აქტიური. ისევ და ისევ, ეს არ არის ყველაზე საიმედო დიაგნოსტიკური მეთოდი, რადგან rootkits, როგორც წესი, ძალიან ფრთხილად მუშაობს და თქვენ მაინც უნდა შეძლოთ მათი კომპიუტერიდან მონაცემების გაგზავნის მომენტში მოხვედრა.

სამწუხაროდ, არ არსებობს აშკარა ნიშნები, რომლებიც სპეციფიკურია rootkits-ისთვის. კომპიუტერზე rootkits-ის არსებობა ბევრად მეტს გეტყვით, ვიდრე გარე ნიშნები.

როგორ მოვიშოროთ rootkits?

მეგობრებო, rootkit-ის აღმოსაჩენად საუკეთესო გზაა ინფიცირებული ვინდოუსით მყარი დისკის სკანირება სხვა ოპერაციული სისტემიდან ანტივირუსით, მაგალითად, ამოიღეთ მყარი დისკი და დააკავშირეთ იგი სხვა კომპიუტერზე მეორე მოწყობილობით (როგორც მე გავაკეთე) ან გამოიყენეთ ანტივირუსული ჩატვირთვის დისკი. შეიტყვეთ მეტი იმის შესახებ, თუ როგორ უნდა მოვიშოროთ rootkits.

rootkits უფრო საშიშია, ვიდრე ვირუსები?

დრო, როდესაც კომპიუტერული ვირუსი ყველაზე მნიშვნელოვან მავნებლად ითვლებოდა, დიდი ხანია წავიდა.

დღეს არის ბევრად უფრო საშიში მავნე აპლიკაციები, ეგრეთ წოდებული rootkits, რომლებსაც ჰაკერები ქმნიან თქვენს კომპიუტერზე დისტანციური წვდომის დასამყარებლად. rootkits-ის დესტრუქციული ძალა მდგომარეობს ანტივირუსული პროგრამებისადმი დაუცველობაში და მათ ფართო გავრცელებაში.

რას აკეთებს rootkit?

Firewall-ის გვერდის ავლით, rootkit ქმნის "უკანა კარს" ინტერნეტის ფარული უკანა კარების საშუალებით, რაც საშუალებას გაძლევთ შექმნათ დისტანციური კავშირი, დააინსტალიროთ დამატებითი მოდულები, მოიპაროთ კომპიუტერში შენახული პაროლები, დაასკანიროთ პლასტიკური ბარათების საბანკო დეტალები, გამორთოთ ანტი- ვირუსული აპლიკაციები, ანუ აკონტროლებენ კომპიუტერს, როგორც ამას თქვენი ფანტაზია გვკარნახობს.

რისთვის გამოიყენება rootkits?

ჰაკერები იყენებენ rootkits-ს დისტანციური მართვის მოსაპოვებლად, რათა შექმნან ზომბი ქსელები, რომელთა უზარმაზარი გამოთვლითი ძალა მათ საშუალებას აძლევს განახორციელონ უპრეცედენტო სიმძლავრის DDoS შეტევები, განახორციელონ მასობრივი სპამის გაგზავნა და მიიღონ მგრძნობიარე მონაცემები - პაროლები, მისამართების წიგნები და ფაილები.

როგორ ხვდება rootkit კომპიუტერში?

ძირითადად, rootkits სისტემაში შეაღწევს ისევე, როგორც ჩვეულებრივი ვირუსები - სპამზე მიმაგრებული ფაილებით, ფლეშ დრაივებით და ასევე ბრაუზერებისა და დანამატების დაუცველობით. ხშირად ფლეშ დრაივი rootkit-ით ეძლევა პოტენციურ მსხვერპლს.

კომპიუტერში შეღწევის შემდეგ, rootkit ღრმად ხვდება სისტემაში, ცვლის *.dll ბიბლიოთეკის ერთ-ერთ ფაილს, იძენს პრივილეგირებულ პოზიციას სისტემაში, რჩება შეუმჩნეველი ანტივირუსული პროგრამების მიერ, დაინსტალირებს დამატებით აპლიკაციებს, რომლებიც უზრუნველყოფენ შეუზღუდავ წვდომას სისტემაში. მსხვერპლის კომპიუტერი.

რატომ არ პოულობენ ანტივირუსული პროგრამები rootkit-ს?

ანტივირუსული პროგრამები მავნე პროგრამულ უზრუნველყოფას იდენტიფიცირებენ ეგრეთ წოდებული ხელმოწერებით - ვირუსის სხეულში შემავალი კოდის სპეციალური ჯაჭვებით, ან მისი ქცევის მახასიათებლებით. Rootkits-ის თავისებურება ის არის, რომ ისინი მანიპულირებენ პროგრამებს შორის მონაცემთა ნაკადების გაცვლის პროცესებით, მათ შორის ანტივირუსული პროგრამებით, ცვლიან და აშორებენ მათ შესახებ მონაცემებს. ამრიგად, ანტივირუსი იღებს ინფორმაციას, რომ ”ყველაფერი წესრიგშია, არანაირი საფრთხე არ გამოვლენილა”.

როგორ ამოიღოთ rootkits?

ფარული მავნე კოდის აღმოჩენა ძალიან სერიოზული ამოცანაა და ჩვეულებრივი ანტივირუსი ვერ უმკლავდება მას. ამისათვის თქვენ უნდა გამოიყენოთ სპეციალური პროგრამები, რომლებიც სპეციალურად არის დაწერილი ასეთი მიზნებისთვის.

დღეს ყველაზე ეფექტური უფასო პროგრამები rootkits-ის გამოსავლენად არის AVG Anti-Roorkit. თითოეული მათგანი აშორებს ფარული მავნებლების მაქსიმალურ რაოდენობას. საუკეთესო ეფექტის მიღწევა შესაძლებელია ორივე ამ აპლიკაციის გამოყენებით. სხვა პროგრამები აჩვენებენ არადამაკმაყოფილებელ შედეგებს ტესტირებისას.



რაიმე შეკითხვა?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა