Сегодня мне хочется рассказать Вам, о типе вируса под названием "руткит" (англ. "rootkit"), данный вид является довольно опасным, потому-что хорошо прячется в системе и не обнаруживается многими антивирусами, еще большой угрозой является то, что вирус не только прячется сам, но и скрывает другое вредоносное ПО, проникшее в систему, еще может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре.
Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Классификация руткитов:
По уровню привилегий
· Уровня пользователя (user-mode)
· Уровня ядра (kernel-mode)
По принципу действия:
· изменяющие алгоритмы выполнения системных функций (Modify execution path)
· изменяющие системные структуры данных (Direct kernel object manipulation)
Первый известный руткит для системы Windows, NT Rootkit, был написан в 1999 году экспертом в области безопасности Грегом Хоглундом в виде драйвера уровня ядра. Он скрывал все файлы и процессы, в имени которых встречалось сочетание _root, перехватывал информацию, набираемую на клавиатуре, и использовал другие способы маскировки. Самым известным на сегодня руткитом является Hacker Defender. Эта программа работает в режиме пользователя и маскируется за счет перехвата некоторых API. Hacker Defender может обрабатывать сетевой трафик до того, как он будет передан приложению, то есть любая программа, работающая в сети, может быть использована для взаимодействия со взломщиком. Hacker Defender перехватывает функции запуска новых процессов, что позволяет ему заражать все программы, запускаемые пользователем.
Легальные руткиты:
Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски. Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.
Источники заражения: руткиты приходят по почте(вложения), маскируясь под документы. На самом деле, документ является исполняемым файлом. Кто попытается его открыть, активирует руткит. Еще один путь распространения –сайты хакеров, либо перехваченные ними “белые” сайты. Ничего не ведающий пользователь просто открывает веб-страницу – и руткит попадает в его компьютер. Это возможно из-за «дыр» в системе безопасности браузеров, либо из-за того что поисковый робот не успел зайти на сайт и проиндексировать его контент, в современных ПС есть индекс оценки безопасности сайта(возможно потребуется установка дополнительного ПО например McAfee).
Вывод: довольно опасный вид вируса, хорошо маскируется, не виден в процессах, особенностью присутствия может быть: загруженность системы, отсутствие доступа в интернет, появление неизвестных файлов и прочих визуальных изменений в Вашем компьютере (это объясняется тем, что при заражении компьютера злоумышленник получает полный доступ к ПК ), работает в WinXP, WinVista,Win7 32x и 64x- проверял лично, из антивирусов руткит был обнаружен: утилитой AVZ, Касперским, а также антивирусом Avast Free (что меня очень удивило).
Автор: © 2013 Дмитрий
Комментариев нет:
Отправить комментарий