Скрытая угроза: что представляют собой руткиты
Войти
: Санкт-Петербург Москва Сочи
Legal Soft_big.png
Программмное обеспечение для любых задач.

Скрытая угроза: что представляют собой руткиты

Скрытая угроза: что представляют собой руткиты
Незамысловатые вирусы, из вредности портящие ваши файлы, давно в прошлом. Нынешним злоумышленникам нужен полный контроль над компьютером. Такие подконтрольные машины могут даже объединяться в сети и служить инструментом для различных вредительских действий, таких как DDOS-атаки и рассылка спама. Но для доступа к вашему компьютеру сначала необходимо интегрировать в него некое контролирующее программное обеспечение. Это и делают современные вирусы. И, совершенствуясь, они научились делать это в обход антивирусов. Помогают им в этом руткиты.
22.07.2020

Незамысловатые вирусы, из вредности портящие ваши файлы, давно в прошлом. Нынешним злоумышленникам нужен полный контроль над компьютером. Такие подконтрольные машины могут даже объединяться в сети и служить инструментом для различных вредительских действий, таких как DDOS-атаки и рассылка спама. Но для доступа к вашему компьютеру сначала необходимо интегрировать в него некое контролирующее программное обеспечение. Это и делают современные вирусы. И, совершенствуясь, они научились делать это в обход антивирусов. Помогают им в этом руткиты.

Что это?

Сам руткит не является вирусом, он не причиняет никакого вреда компьютеру и содержащейся на нем информации. Фактически это код или набор кодов для маскировки объектов или действий в вашем ПК. Обычно руткиты скрывают так называемые ключи реестра, запускающие впоследствии вредоносную программу, файл, содержащий сигнатуры вируса или само тело вируса, вирусные коды, объединяющие зараженные компьютеры в сети, некие процессы, происходящие на зараженном компьютере и пр. Тем самым руткит, делая вредоносную работу незаметной, продлевает срок ее действия, затрудняя ее обнаружение.

Это очень типичная ситуация: компьютер работает в обычном режиме, антивирус не подает сигналов тревоги, посторонних процессов не отображается, но на самом деле компьютер незаметно для вас устраивает атаки на сайты, рассылает спам и пр. это может продолжаться без вашего ведома очень и очень долго – месяцами, а то и годами.

Название rootkit (руткит) использовалось при работе с операционной системой UNIX. Им обозначался некий набор утилит, которые устанавливались на «хакнутой» системе после получения взломщиком статуса суперпользователя (root) и позволяли эту систему держать под контролем. Специально в этих целях руткит содержал средства «маскировки» самого факта взлома.

Как руткиты обманывают ПК?

В основе антивирусного ПО лежит распознавание неких сигнатур вредоносных кодов – из них и состоят антивирусные базы, скачиваемые нами с сайтов разработчиков антивирусного ПО. Сигнатуры позволяют идентифицировать вид вируса, трояна и пр. и уничтожить его. Кроме того, зачастую антивирусные программы имеют блок эвристического анализа для распознавания вирусов не по коду, а по поведению (например, удаление файлов, внесение изменений в систему, замена файлов, путей и пр.). с ростом количества и видов вирусов растет и база эвристического анализа.

Казалось бы, такая серьезная защита не должна обмануться руткитом. Однако здесь есть свои хитрости: руткит в процессе обмена данных просто удалит сведения о своем коде и о том вредоносном ПО, которое он маскирует. То есть у антивируса не будет даже шанса распознать вирус – он получает заведомо ложную информацию о стабильной работе системы. И база сигнатур, и база эвристического анализа просто не получают данных, сигнализирующих о взломе.

Как загружаются руткиты?

Руткит может проникнуть на ваш компьютер несколькими разными путями. Например, через вложение электронной почты, через флешку (например, при загрузке фальшивого файла в формате doc или pdf). В комплекте с бесплатной игрой и прочим ПО (в группу риска попадают все программы, которые скачаны не с сайта официального производителя). В любом случае, вы сами запускаете руткит, не подозревая о его существовании.

Однако незапущенный еще руткит может быть опознан антивирусом. Но после запуска процесс уже необратим – системные процессы и подаваемая в антивирус информация уже под его контролем.

Кроме перечисленных способов «поймать» руткит можно на интернет-ресурсах. Причем, не обязательно сомнительных (но на них – в первую очередь!) – владельцы сайтов могут и не подозревать, что их собственность давно подконтрольна хакерам и распространяет вредоносные коды. Один клик, открывающий сайт, – и руткит уже у вас в системе. Делается это за счет ряда лазеек в системах безопасности браузеров и становится наиболее вероятным, если браузеры не обновляются своевременно.

Яндекс.Метрика