Что такое руткиты?
Руткиты – вид вредоносных программных средств, которые внедряются в операционную систему (ОС) компьютера и открывают к нему неограниченный доступ злоумышленнику через удаленное соединение.
Изначально (более 20 лет назад) руткиты предназначались для того, чтобы скрывать удаленные манипуляции злоумышленника или следы пребывания вирусов, троянов на компьютере жертвы. Сегодня – руткитами называют любые наборы утилит, которые:
- скрывают свою деятельность или деятельность других процессов;
- манипулируют процессами ОС;
- открывают доступ к средствам ОС через сеть;
- собирают пользовательские данные и отправляют их через сеть.
Виды руткитов
Рассмотрим все виды руткитов.
Какие бывают виды сетевых атак?
Руткиты уровня пользователя – самые распространенные. Они запускаются с правами текущего пользователя, реже администраторскими. Обычно они проникают на компьютер с целью сделать из него зомби-машину для DDoS атаки или чтобы украсть конфиденциальные данные пользователя и переслать их злоумышленнику.
Руткиты уровня ядра – редки. Они запускаются с наивысшими правами, загружаются порой раньше операционной системы. Могут находится на компьютере годами, так как их очень сложно обнаружить, и они имеют наивысшие права в системе (root доступ).
Руткиты изменяющие пути исполнения внедряются в ОС, модифицируя обработчики событий операционной системы и системные файлы.
Руткиты, внедряющиеся в ядро, модифицируют само ядро операционной системы, их компоненты взаимодействуют друг с другом, образуя систему внутри системы. Удалить их можно только переустановив ОС.
Особый вид – это программно-аппаратные руткиты, которые работают на уровне выше чем любая операционная система. Они внедряются в механизм программного обеспечения аппаратной виртуализации.
Как попадает на компьютер
Руткиты попадают на компьютер пользователя так же, как и все остальное вредоносное ПО. Источником заражения может быть чужая флешка, письмо с незнакомого E-Mail адреса или случайно нажатая ссылка при серфинге в интернет.
На источнике заражения содержится только минимальный код внедрения. Когда он попадает в компьютер, то закрепится в системе и докачает все остальные компоненты с интернета. Когда он соберется в полном составе, он начнет делать то, для чего разработан – собирать данные и отправлять через интернет, устанавливать удаленный доступ к машине (backdoor – англ. черный ход).
Как бороться
Руткиты, которые внедряются в ядро чрезвычайно трудно обнаружить. Их не обнаруживает ни одно автоматизированное средство. Хорошая новость в том, что их единицы. Для каждого из них предназначено собственное средство, вроде TDSSKiller от лаборатории Касперского.
Что такое вредоносное ПО?
Средства для борьбы с руткитами уровня пользователя встроены в каждый современный пакет интернет защиты. Например, в Касперском (Kaspersky Internet Security) поиск руткитов по умолчанию включен и проводится каждый день, отключить его стандартными средствами нельзя.
Руткиты в Касперском
Это сделано для того, чтобы руткит не смог отключить защиту антивируса, чтобы проникнуть в систему. Если KIS встретит подозрительную активность в системе или узнает компонент руткита по сигнатурам, он заблокирует его.
Лучшая благодарность автору — репост к себе на страничку:
Источник: helpadmins.ru
Вирус RootKit: что это такое и как его удалить
Все вирусы имеют сходство в том, как они работают. Вирус RootKit — это тип вируса, который может быть спрятан глубоко внутри вашего компьютера и оставаться незамеченным, вызывая хаос в фоновом режиме.
Вирусы RootKit могут поражать любые типы компьютеров, включая системы на базе Windows и Mac. Они чаще влияют на ПК под управлением Windows, но если вы пользователь Mac, вы все еще не совсем в безопасности. RootKits также может заражать смартфоны на базе Android.
Что такое вирус RootKit?
Вирус RootKit является потенциально очень опасной формой вируса или вредоносного ПО . Определенный тип вируса, он может использоваться для проникновения на ваш компьютер червями, троянами и вредоносными программами. Это потому, что он открывает «корневой» доступ к вашему компьютеру, позволяя злоумышленникам получить доступ ко всему, что им может понадобиться в вашей системе.
Теоретически, возможно иметь безвредный вирус RootKit, но это почти никогда не происходит. Часто они очень опасны для безопасности вашего компьютера.
Как работает вирус RootKit?
Как форма вируса, вирус RootKit работает по-разному. По сути, это скрытый тип вредоносного ПО, который работает в фоновом режиме, чтобы хакеры и производители вирусов получили доступ к вашему компьютеру.
Их цель — скрыть программное обеспечение и любые следы, оставленные в вашей операционной системе, чтобы пользователь никогда не знал, что они там есть. Они могут бездействовать в течение длительного времени или регулярно получать к ним доступ из-за гнусного источника, который стремится помешать работе вашего компьютера.
Существуют разные типы вирусов RootKit. К ним относятся RootKits для приложений, которые заменяют файлы используемых вами приложений; Kernel RootKits, которые добавляют или заменяют системные файлы ядра; BootKits, которые изменяют способ запуска операционной системы, изменяя загрузочный сектор ; и Memory RootKits, которые работают через системную память, чтобы остаться незамеченными.
Из-за их скрытного характера очень важно быстро удалить угрозу, чтобы проблема не обострилась и не усугубилась.
Источник: gadgetshelp.com