Steeply
Skynet
Сравнительно недавно появилась новая порода вредоносных программ - rootkit-файлы, работающие на уровне ядра операционной системы. Эти средства позволяют хакерам скрывать следы своих файлов (и сами файлы) на инфицированном компьютере. К счастью, существуют программы, позволяющие обнаружить и удалить эту инфекцию.
Хакеры используют rootkit-программы для управления и атак, а также для сбора информации с систем, на которые удалось установить rootkit - обычно вместе с вирусом или путем взлома.
Обычные rootkit-программы, как правило, после инсталляции работают незаметно, в фоновом режиме, но легко обнаруживается путем просмотра активных процессов, обмена данными с внешней средой и проверки устанавливаемых программ.
Однако rootkit-программы, действующие на уровне ядра операционной системы, изменяют само ядро или компоненты ОС. Кроме того, их гораздо труднее обнаружить.
В частности, некоторые rootkit вмешиваются в системные запросы, передаваемые ядру операционной системы, и отменяют те из них, что касаются rootkit-программ. Обычно это приводит к тому, что сведения о программе или аппаратной конфигурации становятся невидимыми для администратора или утилит поиска вредоносного ПО.
Впервые rootkit-программы появились и получили распространение в Linux и UNIX. Как следует из их названия, они позволяют хакеру получить доступ на уровне root - высший уровень административных привилегий. Самый опасный вид rootkit - средства перехвата нажатий клавиш, позволяющие узнавать регистрационные данные и пароли пользователей.
А как же с ними бороться?
Большинство программных детекторов, в том числе антивирусы, антишпионы и IDS (Intrusion Detection Sensors - датчики вторжений) неспособно обнаружить rootkit-программы ядра.
Стратегий распознавания rootkit ядра на инфицированном компьютере мало, так как каждый rootkit ведет себя по-своему и по-своему заметает следы.
Иногда удается обнаружить rootkit ядра, проверяя инфицированную систему с другого компьютера по сети. Еще один метод - перезагрузить компьютер с Windows PE, сокращенной версией Windows XP, запускаемой с компакт-диска, и сравнить профили чистой и инфицированной операционных систем.
В Windows с rootkit-файлами хорошо справляется бесплатная утилита RootkitRevealer (www.sysinternals.com), которая отыскивает файлы и ключи системного реестра, которые могут иметь отношение к rootkit. Однако программа RootkitRevealer не защищена "от дурака": далеко не все найденные ею объекты являются вредоносными. Для того чтобы эффективно использовать RootkitRevealer, необходимо правильно трактовать предоставляемую ею информацию.
RootkitRevealer не удаляет и не блокирует обнаруженные rootkit, и даже не может определенно сказать, является ли обнаруженный файл частью rootkit. Но если программа обнаружила нечто, чего на этом месте быть не должно, и антивирус не в состоянии это удалить - высока вероятность, что вы нашли то, что искали.
RootkitRevealer должна работать в полном одиночестве: пользователю рекомендуется отключить все остальные программы, в том числе фоновые и те, что включаются автоматически, такие как хранитель экрана, отложить мышку, отойти от компьютера и позволить RootkitRevealer сделать свое дело.
Если параллельно с RootkitRevealer на компьютере будет работать что-то еще, системного сбоя не произойдет, но поиск будет нарушен, и результаты могут быть неточными.
Результатом работы RootkitRevealer является список файлов, в число которых попадают метаданные NTFS для каждого раздела диска. Эти файлы создаются при нормальной работе Windows, и не всегда являются признаком наличия rootkit. Некоторые расхождения вполне допустимы. Например, первые 10-20 результатов могут иметь вид обычных ключей системного реестра, но напротив них должно стоять Access denied. Это обычные результаты для нормальной системы, независимо от наличия в ней rootkit.
Но файлы с пометкой Hidden from Windows API, - это повод для беспокойства. Такие файлы могут находиться во временных папках, папке Windows или еще где-нибудь на диске. Если вам встретятся такие файлы, попробуйте перейти к ним с помощью Windows Explorer (Проводника) и проверить: видимы ли они там? Впрочем, и это нельзя считать прямой уликой. Например, технологии скрытия файлов используют такие полезные программы, как антивирус Касперского.
Гораздо подозрительнее программы с длинными именами файлов, состоящими из произвольного набора букв и цифр. При обнаружении таких файлов рекомендуется обновить антивирус и выполнить как можно более тщательную проверку компьютера.
Менее опытные пользователи могут прибегнуть к помощи антивирусного сканера F-Secure BlackLight (www.f-secure.com/blacklight), который обнаруживает и обезвреживает rootkit-файлы. Несмотря на спартанский дизайн, это довольно серьезная программа.
Если же устранить rootkit ядра не удается, остается последнее средство - форматирование инфицированного диска и переустановка операционной системы.
В заключение отметим, что, хотя впервые rootkit появились в Linux и UNIX, сегодня их самая любимая среда - Windows. Такой популярности она обязана не только широкому распространению, но и наличию в ней мощных API (Application Programming Interfaces - программных интерфейсов приложения), благодаря которым легко замаскировать истинное поведение системы. Популярный Web-браузер Internet Explorer только упрощает задачу проникновения в систему хакеров, вирусов и электронных червей, которые часто являются носителями rootkit-кода.
Источник: www.cpp.com.ua
Хакеры используют rootkit-программы для управления и атак, а также для сбора информации с систем, на которые удалось установить rootkit - обычно вместе с вирусом или путем взлома.
Обычные rootkit-программы, как правило, после инсталляции работают незаметно, в фоновом режиме, но легко обнаруживается путем просмотра активных процессов, обмена данными с внешней средой и проверки устанавливаемых программ.
Однако rootkit-программы, действующие на уровне ядра операционной системы, изменяют само ядро или компоненты ОС. Кроме того, их гораздо труднее обнаружить.
В частности, некоторые rootkit вмешиваются в системные запросы, передаваемые ядру операционной системы, и отменяют те из них, что касаются rootkit-программ. Обычно это приводит к тому, что сведения о программе или аппаратной конфигурации становятся невидимыми для администратора или утилит поиска вредоносного ПО.
Впервые rootkit-программы появились и получили распространение в Linux и UNIX. Как следует из их названия, они позволяют хакеру получить доступ на уровне root - высший уровень административных привилегий. Самый опасный вид rootkit - средства перехвата нажатий клавиш, позволяющие узнавать регистрационные данные и пароли пользователей.
А как же с ними бороться?
Большинство программных детекторов, в том числе антивирусы, антишпионы и IDS (Intrusion Detection Sensors - датчики вторжений) неспособно обнаружить rootkit-программы ядра.
Стратегий распознавания rootkit ядра на инфицированном компьютере мало, так как каждый rootkit ведет себя по-своему и по-своему заметает следы.
Иногда удается обнаружить rootkit ядра, проверяя инфицированную систему с другого компьютера по сети. Еще один метод - перезагрузить компьютер с Windows PE, сокращенной версией Windows XP, запускаемой с компакт-диска, и сравнить профили чистой и инфицированной операционных систем.
В Windows с rootkit-файлами хорошо справляется бесплатная утилита RootkitRevealer (www.sysinternals.com), которая отыскивает файлы и ключи системного реестра, которые могут иметь отношение к rootkit. Однако программа RootkitRevealer не защищена "от дурака": далеко не все найденные ею объекты являются вредоносными. Для того чтобы эффективно использовать RootkitRevealer, необходимо правильно трактовать предоставляемую ею информацию.
RootkitRevealer не удаляет и не блокирует обнаруженные rootkit, и даже не может определенно сказать, является ли обнаруженный файл частью rootkit. Но если программа обнаружила нечто, чего на этом месте быть не должно, и антивирус не в состоянии это удалить - высока вероятность, что вы нашли то, что искали.
RootkitRevealer должна работать в полном одиночестве: пользователю рекомендуется отключить все остальные программы, в том числе фоновые и те, что включаются автоматически, такие как хранитель экрана, отложить мышку, отойти от компьютера и позволить RootkitRevealer сделать свое дело.
Если параллельно с RootkitRevealer на компьютере будет работать что-то еще, системного сбоя не произойдет, но поиск будет нарушен, и результаты могут быть неточными.
Результатом работы RootkitRevealer является список файлов, в число которых попадают метаданные NTFS для каждого раздела диска. Эти файлы создаются при нормальной работе Windows, и не всегда являются признаком наличия rootkit. Некоторые расхождения вполне допустимы. Например, первые 10-20 результатов могут иметь вид обычных ключей системного реестра, но напротив них должно стоять Access denied. Это обычные результаты для нормальной системы, независимо от наличия в ней rootkit.
Но файлы с пометкой Hidden from Windows API, - это повод для беспокойства. Такие файлы могут находиться во временных папках, папке Windows или еще где-нибудь на диске. Если вам встретятся такие файлы, попробуйте перейти к ним с помощью Windows Explorer (Проводника) и проверить: видимы ли они там? Впрочем, и это нельзя считать прямой уликой. Например, технологии скрытия файлов используют такие полезные программы, как антивирус Касперского.
Гораздо подозрительнее программы с длинными именами файлов, состоящими из произвольного набора букв и цифр. При обнаружении таких файлов рекомендуется обновить антивирус и выполнить как можно более тщательную проверку компьютера.
Менее опытные пользователи могут прибегнуть к помощи антивирусного сканера F-Secure BlackLight (www.f-secure.com/blacklight), который обнаруживает и обезвреживает rootkit-файлы. Несмотря на спартанский дизайн, это довольно серьезная программа.
Если же устранить rootkit ядра не удается, остается последнее средство - форматирование инфицированного диска и переустановка операционной системы.
В заключение отметим, что, хотя впервые rootkit появились в Linux и UNIX, сегодня их самая любимая среда - Windows. Такой популярности она обязана не только широкому распространению, но и наличию в ней мощных API (Application Programming Interfaces - программных интерфейсов приложения), благодаря которым легко замаскировать истинное поведение системы. Популярный Web-браузер Internet Explorer только упрощает задачу проникновения в систему хакеров, вирусов и электронных червей, которые часто являются носителями rootkit-кода.
Источник: www.cpp.com.ua
