Вверх A A A
Руткит

Справочные материалы

Перейти
Июль 2017
Нед Пн Вт Ср Чт Пт Сб Вс
26
1
2
27
3
4
5
6
7
8
9
28
10
11
12
13
14
15
16
29
17
18
19
20
21
22
23
30
24
25
26
27
28
29
30
31
31
   Архив сайта
2009 Показать Свернуть
2010 Показать Свернуть
2011 Показать Свернуть
2012 Показать Свернуть
  • Январь
  • Февраль
  • Март
  • Апрель
2013 Показать Свернуть
2014 Показать Свернуть
  • Май
  • Июнь
  • Июль
  • Август
  • Сентябрь
  • Октябрь
  • Ноябрь
  • Декабрь
2015 Показать Свернуть
  • Сентябрь
  • Октябрь
  • Ноябрь
  • Декабрь
2016 Показать Свернуть
   Архив блога
2009 Показать Свернуть
  • Январь
  • Февраль
  • Март
  • Апрель
  • Май
  • Июнь
  • Июль
  • Август
  • Сентябрь
  • Октябрь
  • Ноябрь
  • Декабрь
2010 Показать Свернуть
  • Январь
  • Февраль
  • Март
  • Апрель
  • Май
  • Июнь
  • Июль
  • Август
2011 Показать Свернуть
2012 Показать Свернуть
2013 Показать Свернуть
2014 Показать Свернуть
  • Май
  • Июнь
  • Июль
  • Август
  • Сентябрь
  • Октябрь
  • Ноябрь
  • Декабрь
2015 Показать Свернуть
  • Май
  • Июнь
  • Июль
  • Август
  • Сентябрь
  • Октябрь
  • Ноябрь
  • Декабрь
2016 Показать Свернуть

Руткит

Вредоносное ПО 0

Руткиты - cтремятся получить полный контроль над системой и при этом полностью скрыть свое присутствие и "прикрыть" деятельность других вредоносных программ. Самостоятельно не размножаются. Обнаруживаются с большим трудом.

Руткитом называют любую программу, деятельность которой направлена на то, чтобы получить полный контроль над системой без разрешения пользователя или администратора системы. Кроме того, большинство руткитов одновременно скрывают определенные файлы, сетевые соединения, блоки памяти и записи в реестре системы от программ, используемых для определения "привилегированного" доступа к системным ресурсам. Одновременно руткит может маскироваться под другие файлы, программы или библиотеки. Используемые ими техники включают в себя сокрытие запущенных процессов от программ мониторинга и сокрытие файлов и данных от самой системы. Как правило, руткиты одновременно работают и как трояны. Они могут включать в себя и другие "полезные" утилиты, позволяющие устанавливать backdoor для обеспечения постоянного доступа к пораженной системе. Используя этот вид вредоносного ПО, злоумышленник может скрывать присутствие в системе своего инструментария для других атак - например, различное шпионское ПО для рассылки спама или кражи банковских данных пользователя. Кроме того, пораженные системы могут быть использованы как плацдарм для следующих атак, затрудняя определение системы, с которой была осуществлена атака.

Всего существует не менее пяти разновидностей руткитов, работающих на разных уровнях. Это руткиты, работающие на уровне аппаратных программ, виртуализированные, уровня ядра или библиотек, а также работающие на уровне приложений.

Аппаратные руткиты используют встроенное ПО устройств, которое редко подвергается проверкам на целостность кода. Виртуализированные руткиты меняют последовательность загрузки так, что при запуске компьютера загружается руткит, а не операционная система. Затем руткит загружает ОС как виртуальную машину и получает возможность перехватывать все аппаратные запросы системы. Руткиты уровня ядра системы добавляют или замещают участки кода как в самом ядре системы, так и в связанных с ним драйверах. Из-за того, что они работают на том же уровне, что и система, их особенно сложно обнаружить, так как они могут изменить или отклонить любой запрос, сделанный программами в пораженной операционной системе. Такие руткиты, к тому же, несут в себе дополнительную угрозу стабильности работы системы, если написаны даже с незначительными ошибками. "Библиотечные" руткиты пользуются теми же методами в работе с библиотеками, скрывая информацию о поражении системы. Совершенно легальные приложения тоже могут быть поражены руткитами. На уровне программы руткиты заменяют участки здорового кода приложения,заставляя такую программу одновременно выполнять еще и функцию трояна.

Обнаружить рукит при помощи ПО, запущенного в уже поврежденной его деятельностью операционной системе, очень сложно, так как любой запрос о запущенных процессах и приложениях, а также целосности системы будет руткитом перехвачен. А в ответ поступит информация, что система работает нормально. В пораженной операционной системе анти-руткиты могут обнаруживать только руткиты, которые не могут полностью замаскировать такое присутствие. Обнаружить "идеальный" руткит они не смогут. Яркий пример тому - руткит Rustock.C, который более полугода не могли обнаружить ни разработчики антивирусного ПО, ни авторы вирусов. После долгих попыток обнаружения его существование вообще поставили под вопрос. И только в начале мая появилось сообщение, что этот руткит был обнаружен. Оставаясь невидимым для любого антивирусного ПО, Rustock.C совмещал в себе отдельные качества вируса и трояна, и был направлен на создание бот-сетей по рассылке спама. По приблизительным оценкам, за полгода деятельности руткита его автором была создана третья по величине мировая зомби-сеть. Самым действенным способом обнаружения руткитов остается запуск "чистой" системы и антируткита с загрузочного диска, но и такой метод часто не гарантирует стопроцентного результата.

WWW.PCWORLD-UA.COM Александр Стебницкий.

    5 / 410


2671

Эта статья находится в разделах:

Брандмауэр Windows
Вредоносное ПО

Заметка: Автор:
  1. Вирусы

    Вирусы

    40 Воспроизводится Вирусы www.pcworld-ua.com
  2. Руткит

    Руткит

    41 Воспроизводится Руткит www.pcworld-ua.com
  3. Трояны

    Трояны

    42 Воспроизводится Трояны www.pcworld-ua.com
  4. Черви

    Черви

    43 Воспроизводится Черви www.pcworld-ua.com
  5. Шпионы

    Шпионы

    44 Воспроизводится Шпионы www.pcworld-ua.com
  6. Как оценить безопасность интерактивной транзакции

    Как оценить безопасность интерактивной транзакции

    57 Воспроизводится Как оценить безопасность интерактивной транзакции Microsoft
  7. Что такое фишинг

    Что такое фишинг

    58 Воспроизводится Что такое фишинг Microsoft
  8. Windows заблокирована вредоносным ПО

    Windows заблокирована вредоносным ПО

    60 Воспроизводится Windows заблокирована вредоносным ПО Microsoft
  9. Распознавание опасных типов файлов

    Распознавание опасных типов файлов

    78 Воспроизводится Распознавание опасных типов файлов Microsoft
  10. Как защитить компьютер от вирусов?

    Как защитить компьютер от вирусов?

    80 Воспроизводится Как защитить компьютер от вирусов? Microsoft
  11. Шпионские программы: вопросы и ответы

    Шпионские программы: вопросы и ответы

    93 Воспроизводится Шпионские программы: вопросы и ответы Microsoft
  12. Фильтр SmartScreen: вопросы и ответы

    Фильтр SmartScreen: вопросы и ответы

    94 Воспроизводится Фильтр SmartScreen: вопросы и ответы Microsoft
  13. Как удалить вирус?

    Как удалить вирус?

    97 Воспроизводится Как удалить вирус? Microsoft
  14. Как определить, что компьютер инфицирован вирусом?

    Как определить, что компьютер инфицирован вирусом?

    98 Воспроизводится Как определить, что компьютер инфицирован вирусом? Microsoft
  15. Фильтр SmartScreen: сведения для администраторов и владельцев веб-узлов

    Фильтр SmartScreen: сведения для администраторов и владельцев веб-узлов

    172 Воспроизводится Фильтр SmartScreen: сведения для администраторов и владельцев веб-узлов Microsoft
  16. Удаление шпионских программ

    Удаление шпионских программ

    220 Воспроизводится Удаление шпионских программ Microsoft
  17. Как определить, установлено ли на компьютере новое программное обеспечение?

    Как определить, установлено ли на компьютере новое программное обеспечение?

    221 Воспроизводится Как определить, установлено ли на компьютере новое программное обеспечение? Microsoft
  18. Защита от вирусов в почтовых сообщениях

    Защита от вирусов в почтовых сообщениях

    226 Воспроизводится Защита от вирусов в почтовых сообщениях Microsoft
  19. Как защитить компьютер от вирусов?

    Как защитить компьютер от вирусов?

    227 Воспроизводится Как защитить компьютер от вирусов? Microsoft
  20. Как определить, заражен ли компьютер шпионской программой?

    Как определить, заражен ли компьютер шпионской программой?

    228 Воспроизводится Как определить, заражен ли компьютер шпионской программой? Microsoft
  21. Использование антивирусного программного обеспечения, которое не может быть обнаружено Windows

    Использование антивирусного программного обеспечения, которое не может быть обнаружено Windows

    229 Воспроизводится Использование антивирусного программного обеспечения, которое не может быть обнаружено Windows Microsoft
  22. Фильтр фишинга: вопросы и ответы

    Фильтр фишинга: вопросы и ответы

    343 Воспроизводится Фильтр фишинга: вопросы и ответы Microsoft
  23. Вирусы: вопросы и ответы

    Вирусы: вопросы и ответы

    383 Воспроизводится Вирусы: вопросы и ответы Microsoft
  24. Как определить, что компьютер инфицирован вирусом?

    Как определить, что компьютер инфицирован вирусом?

    384 Воспроизводится Как определить, что компьютер инфицирован вирусом? Microsoft
  25. Визуализация DDoS-атаки

    Визуализация DDoS-атаки

    748 Воспроизводится Визуализация DDoS-атаки
  26. Борьба с баннером - ещё одна подсказка

    Борьба с баннером - ещё одна подсказка "чайникам"....

    812 Воспроизводится Борьба с баннером - ещё одна подсказка "чайникам".... Жанна Лесникова
  27. Распространённые способы взлома вашего компа  /советы

    Распространённые способы взлома вашего компа /советы "чайнику"/

    813 Воспроизводится Распространённые способы взлома вашего компа /советы "чайнику"/ Жанна Лесникова
  28. Как защитить компьютер от вирусов?

    Как защитить компьютер от вирусов?

    902 Воспроизводится Как защитить компьютер от вирусов? Microsoft
  29. Зоны безопасности: добавление и удаление веб-узлов

    Зоны безопасности: добавление и удаление веб-узлов

    988 Воспроизводится Зоны безопасности: добавление и удаление веб-узлов Microsoft
  30. Сравнение встроенных средств защиты Windows 7/8

    Сравнение встроенных средств защиты Windows 7/8

    1209 Воспроизводится Сравнение встроенных средств защиты Windows 7/8 Алексей Дрозд
  31. Bitdefender Bootkit Removal Tool - утилита для удаления буткитов

    Bitdefender Bootkit Removal Tool - утилита для удаления буткитов

    1211 Воспроизводится Bitdefender Bootkit Removal Tool - утилита для удаления буткитов http://www.comss.info