Zillya! - Руткіт: експерт маскування шкідливого ПО

Чим більш досконалі продукти програмного забезпечення з'являються на ринку інформаційних технологій, тим більша ймовірність, що і розвиток шкідливих програм не буде стояти на місці. І, якщо раніше робота шкідливих файлів (malware) супроводжувалася різноманітними ефектами, що допомагало їх досить швидко виявити, то сьогодні зусилля кіберзлочинців направлені на розробку програмних продуктів, діяльність яких максимально прихована від користувача, операційної системи і антивірусів. Особливості Rootkit відмінно ілюструють цю тенденцію.

руткіти

Останні двадцять років досить активно розвивається впровадження програм-руткітів. Своєю появою вони зобов'язані системам виду UNIX, де група утиліт, що належить самій системі, мала назву rootkit і використовувалася хакерами для проникнення, маскування і отримання прав системного адміністратора (root) для подальших прихованих дій. Сьогодні під цим терміном розуміють набір інструментів - програм, дія яких полягає в приховуванні присутності зловмисника або шкідливої ​​коди в операційній системі і відкриття вільного доступу для інших шкідливих програм і вірусів. Для свого прихованого присутності і маскування руткіти використовують різні механізми.

В цілому, RootKit це клас malware , Часто йдуть в парі з троянськими або іншими видами шкідливих програм. Сам по собі Rootkit нічого шкідливого не робить - його основне завдання приховати від сторонніх очей присутність в системі певних шкідливих програм. Найчастіше RootKit може бути виконаний як спеціальним чином модифікована системна програма (системний файл). Бувають випадки, що якийсь із важливих системних файлів, після модифікації в ньому всього декількох байт стає RootKit-компонентом, дозволяючи іншому шкідливому ПО тривалий час успішно ховатися в системі. При наявності активного руткита в системі, дуже важко знайти приховуваний їм файл «вірусу». Наприклад, RootKit може перехоплювати запити на пошук файлу і не показувати його в результатах. Таким чином, навіть при фізичному наявності файлу його можна буде знайти.

Найвідоміші руткіти і їх поширення

Перший руткит для Windows був написаний в далекому 1999 році експертом в сфері безпеки Хоглунд і названий NT Rootkit. Він приховував всі файли і процеси, в імені яких зустрічалося поєднання root, перехоплював інформацію при наборі з клавіатури і здійснював інші подібні дії.

Одним з найбільш відомих на сьогодні руткітів є Hacker Defender, який працює на рівні користувача. У 2005 році в системі захисту від копіювання фірми Sony був виявлений руткит XCP, який блокував можливість відключення даної програми. Після донесення цієї інформації до широкого загалу через деякий час почали з'являтися шкідливі програми, що включають в своїй структурі вище згаданий руткит. Залишається актуальним для сучасного користувача існування таких відомих руткітів, як TDDS, ZeroAccess, Alureon іNecurs.

На рахунку TDDS більше 3 мільйонів інфікованих комп'ютерів. Розробники засобів безпеки не залишають своїх зусиль в спробі зупинити поширення цього руткита і продовжують удосконалювати програми по його виявлення і нейтралізації.

Боротьбою з ZeroAccess зайнялися фахівці з Microsoft спільно з представниками ФБР і Європолу, і вже на першому етапі було виявлено понад 2 мільйонів ПК, скомпрометованих наявністю шкідливого коду.

Alureon знаходять в 74% випадків обстеження заражених комп'ютерів. Цей руткит досі утримує одну з лідируючих позицій.

З 2010 року фіксується поширення шкідливої ​​програми Necurs, яка вміло маскуюся, перешкоджає своєчасному виявленню.

Шляхи проникнення руткітів на ПК і методи захисту від них

Найчастіше в тому, що в систему увійшов руткит, користувачеві нікого звинувачувати, крім себе, свого надмірної цікавості або жадібності. Шляхи проникнення цих шкідливих програм загальновідомі:

• фішинг;

• встановлення на ПК "ламаного" софта або ігор;

• використання флеш-накопичувачів, підібраних в громадських місцях, або походження яких користувач не пам'ятає.

При виникненні підозри в неадекватній роботі комп'ютера поновіть встановлені засоби захисту і антивіруси. Постійно фільтруйте інформацію, якої Ви збираєтеся надати доступ до своєї машини. Не використовуйте підозрілі сайти, не відчиняйте листи і документи сумнівного походження. Завжди перевіряйте всі флешки, навіть отримані від друзів або хороших знайомих, на наявність шкідливих програм. У складних випадках звертайтеся до фахівців.

Дотримуйтеся цих нескладних методів профілактики - і ймовірність впливу шкідливого програмного забезпечення на ваш ПК суттєво знизиться.