Как обнаружить и удалить руткиты ( Rootkit )?
Rootkit (по-русски, "руткит") — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Термин RootKit исторически пришел из мира Unix, где под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Это, как правило, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. RootKit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.
В системе Windows под RootKit принято считать программу, которая внедряется в систему и перехватывает системные функции, или производит замену системных библиотек. Перехват и модификация низкоуровневых API функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе, защищая ее от обнаружения пользователем и антивирусным ПО. Кроме того, многие RootKit могут маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие RootKit устанавливают в систему свои драйверы и сервисы (они естественно также являются «невидимыми»).
В последнее время угроза RootKit становится все более актуальной, т.к. разработчики вирусов, троянских программ и шпионского программного обеспечения начинают встраивать RootKit-технологии в свои вредоносные программы. Одним из классических примеров может служить троянская программа Trojan-Spy.Win32.Qukart, которая маскирует свое присутствие в системе при помощи RootKit-технологии (данная программа интересна тем, что ее RootKit-механизм прекрасно работает в Windows 95\98\ME\2000\XP).
Для эффективной борьбы с RootKit необходимо понимание принципов и механизмов его работы. Условно все RootKit-технологии можно разделить на две категории – работающие в режиме пользователя (user-mode) и в режиме ядра (kernel-mode). Первая категория RootKit основана на перехвате функций библиотек пользовательского режима, вторая – на установке в систему драйвера, осуществляющего перехват функций уровня ядра. Далее при описании методов перехвата функций описание идет применительно к RootKit, однако нужно помнить, описанные методики универсальны и применяются множеством полезных программ и утилит.
Диагностика и лечение систем, зараженных как известными руткитами (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned), так и неизвестными, производится с помощью утилит, например от Лаборатории Касперского - TDSSKiller.
Список вредоносных программ
Rootkit.Win32.TDSS, Rootkit.Win32.Stoned.d, Rootkit.Boot.Cidox.a, Rootkit.Boot.SST.a, Rootkit.Boot.Pihar.a,b,c, Rootkit.Boot.CPD.a, Rootkit.Boot.Bootkor.a, Rootkit.Boot.Fisp.a, Rootkit.Boot.MyBios.b, Rootkit.Win32.TDSS.mbr, Rootkit.Boot.Wistler.a, Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k, Rootkit.Boot.Nimnul.a, Rootkit.Boot.Batan.a, Rootkit.Boot.Lapka.a, Rootkit.Boot.Goodkit.a, Rootkit.Boot.Clones.a, Rootkit.Boot.Xpaj.a, Rootkit.Boot.Yurn.a, Rootkit.Boot.Prothean.a, Backdoor.Win32.Trup.a,b, Backdoor.Win32.Sinowal.knf,kmy, Backdoor.Win32.Phanta.a,b, Virus.Win32.Cmoser.a, Virus.Win32.TDSS.a,b,c,d,e, Virus.Win32.Rloader.a, Virus.Win32.Zhaba.a,b,c, Trojan-Clicker.Win32.Wistler.a,b,c, Trojan-Dropper.Boot.Niwa.a, Trojan-Ransom.Boot.Mbro.d, e, Trojan-Ransom.Boot.Siob.a, Trojan-Ransom.Boot.Mbro.f.
Утилита TDSSKiller поддерживает
32-разрядные операционные системы: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2.
64-разрядные операционные системы: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 и выше.
Работа с утилитой TDSSKiller
- Работа утилиты начинается при нажатии на кнопку Начать проверку. Производится поиск вредоносных и подозрительных объектов;
- Утилита может детектировать наличие следующих подозрительных объектов:
- Скрытый сервис - ключ в реестре скрыт при перечислении стандартным способом;
- Заблокированный сервис - ключ в реестре недоступен на открытие стан- дартным способом;
- Скрытый файл - файл на диске скрыт при перечислении стандартным способом;
- Заблокированный файл - файл на диске недоступен на открытие стан- дартным способом;
- Подмененный файл - при чтении файла стандартным способом воз- вращается не то содержимое, которое есть на самом деле;
- Rootkit.Win32.BackBoot.gen - подозрение на MBR, зараженную неиз- вестным буткитом.
С большой вероятностью подобные аномалии являются следствием активности руткита в системе. Но также могут быть следствием работы легитимных приложений.
-
Для подробного анализа необходимо скопировать обнаруженные объекты в карантин, выбрав действие Скопировать в карантин.
Файл при этом удален не будет!
-
И далее отправить файлы в Вирусную Лабораторию или на сканирование VirusTotal.com.
-
Если в результате анализа будет точно установлено, что объекты зловредные, то их можно:
-
удалить, выбрав действие Удалить;
-
восстановить (в случае MBR), выбрав действие Восстановить.
Рекомендуем в повседневной деятельности:
Виды деятельности
Soft - программы
Скачать TDSSKiller - диагностика и лечение систем (24,71 MB) = 6,02мин. 
Скачать - инструкцию по созданию загрузочной флешки = 50,02мин. 
Скачать ссылки на каталоги - для регистрации сайта (69.5 MB) = 9. 7 мин. 
Комментарии (0):
Добавление комментария