Руткіти: як видалити те, що не видно

Останнім часом ми спостерігаємо жахливу картину: незважаючи на постійно оновлювані антивіруси, комп`ютери користувачів все більше і більше поглинають шкідливі програми. І не останню роль в цьому волаюче неподобство грають руткіти. У тому, що це за звірі і як з ними боротися ми спробуємо розібратися в нашій сьогоднішній статті.

{Mosloadposition debug}
Досить типова ситуація: комп`ютер поводиться якось не так. В автозавантаженні чисто, процеси в порядку, антивірус нічого не знаходить, проте вас не покидає думка, що система нездорова. У кращому випадку ви побачите присутність вірусів на власні очі, в гіршому - навіть не помітите, як з вашого ПК розсилають спам, крадуть паролі, атакують сайти або роблять інші, не особливо приємні будь-якому користувачеві, речі.

Хто допомагає вірусам ховатися на вашому комп`ютері? У деяких випадках це шкідливі програми особливого роду - руткіти. Не будемо особливо мудрувати і звернемося до Вікіпедії для роз`яснення даного терміну.

Отже, руткит (rootkit) - це програма (набір програм) для приховування слідів присутності зловмисника або шкідливої коди в операційній системі. Встановивши руткит на ваш комп`ютер, хакер отримує над ним повний контроль, може дистанційно керувати комп`ютером і завантажувати на нього інші шкідливі програми. Природно, все це він робить не вручну під покровом ночі, а користуючись різними командами, утилітами і т.п.

Більш того, основне завдання руткита - не допустити виявлення даних дій господарем комп`ютера, приховати від користувача присутність хакера і змін в системі. Руткіт ховає від ваших очей шкідливі процеси, системні служби, драйвера, мережеві з`єднання, ключі реєстру і записи автозавантаження, модулі, папки, файли і, звичайно ж, ховає сам себе. Загалом, ситуація не з приємних, і ваш комп`ютер вже зовсім вам не належить.

Сам термін «руткіт» бере свій початок з операційних систем сімейства Unix. Саме для них були написані руткіти, які хакери встановлювали на комп`ютери відразу після отримання прав суперкористувача (root-a, звідси і назва rootkit). Уточню, що привілейований в Unix - це те ж саме, що Адміністратор в Windows. Руткіти були необхідні, оскільки всі дії в Unix системах, як і в сучасному Linux, виконувалися від імені звичайного користувача, який не має прав на будь-яке критичне зміна стану системи. Таким чином, руткит дозволяв зловмиснику повністю заволодіти ОС і повноправно панувати над системою.

Порівняно недавно, в кінці минулого століття, з`явилися руткіти і під операційну систему Windows. Оскільки на той момент жоден антивірус їх не упізнавав, перед руткитами відкривалася приваблива перспектива. Однак незабаром вони були виявлені і потихеньку великі антивірусні компанії і виробники систем захисту почали додавати функціонал по виявленню руткітів в свої рішення.

На сьогоднішній день існує безліч антивірусів і спеціалізованих програм, що дозволяють виявити і нейтралізувати руткіти. Інформацію про те, чи вміє ваш антивірус відловлювати і знешкоджувати руткіти, ви завжди можете знайти на офіційному сайті його розробників.

Sophos Anti-Rootkit

Невелика утиліта, яка вміє боротися з руткитами, яка працює, як на Windows XP, так і на Vista. Sophos Anti-Rootkit сканує реєстр і критичні каталоги системи і виявляє приховані об`єкти, чи то пак руткітів.

Завантажити Sophos Anti-Rootkit можна з офіційного сайту розробників https://sophos.com/products/free-tools/sophos-anti-rootkit.html. Правда для цього вам доведеться заповнити невелику анкету.

Програма звичним чином встановлюється на комп`ютер і володіє інтуїтивно зрозумілим інтерфейсом. Перш за все, вам необхідно задати об`єкти, які повинна виявити утиліта.

Після сканування слід виділити виявлені об`єкти (попередньо уважно їх вивчивши!) І натиснути кнопочку «Clean up checked items» для їх видалення.

В описі знайдених об`єктів програма запропонує вам свої рекомендації на рахунок їх видалення. Для цього слід виділити знайдений об`єкт. Так, запис в рядку Removable «Yes (but clean up is not recommended for this file)» означає, що Sophos Anti-Rootkit без праці зможе видалити цей об`єкт, але його видалення не рекомендується, тому що це дружня програма або модуль, який не приносить ніякої шкоди системі. Такі об`єкти можна сміливо пропускати. Якщо ж ви все-таки вирішите їх видалити, Sophos Anti-Rootkit попередить про можливі проблеми з операційною системою. Варто ще раз подумати і ... натиснути кнопку «Скасування».

Крім того, Sophos Anti-Rootkit в описі кожного об`єкта покаже повний шлях до нього і додаткову інформацію. Але утиліта може цього і не зробити. Найрозумніше в цьому випадку - відкрити папку з файлом або гілку реєстру і уважно вивчити знайдений Sophos Anti-Rootkit об`єкт з усіх боків: подивитися його властивості, пошукати інформацію про нього в інтернеті і т.п.

Rootkit Buster

Наступна безкоштовна утиліта для виколупуванням руткітів з системи, яка працює без установки в Windows XP і пізніших версіях цієї ОС. Завантажити Rootkit Buster можна з офіційного сайту розробника - компанії Trend Micro: https://trendmicro.com/download/rbuster.asp.

Для того щоб почати сканування просто розпакуйте архів і запустіть файл Rootkit Buster.exe, потім у вікні утиліти натисніть кнопку «Scan Now». При цьому Rootkit Buster перевірить завантажувальний запис MBR і приховані файли, реєстр, процеси і драйвера.

Якщо ви досить добре знаєте свій комп`ютер, то можете відзначити останній пункт «File Streams» ( «Файлові потоки»), але попереджаю відразу, що в цьому випадку програма обов`язково щось та знайде і в основному це нешкідливі об`єкти. Проте, серед них можуть попастися і шкідливі, тому важливо відрізняти «овець від вовків». По завершенні сканування ви побачите список знайдених об`єктів. Будь-який з них можна виділити і видалити натисканням кнопки «Delete Selected Items». У моєму випадку програма нічого не знайшла, що дуже порадувало.

AVZ

Утиліта вітчизняних розробників, яка крім виявлення руткітів має величезне число різних функцій, корисних в боротьбі з вірусами. Завантажити AVZ можна з офіційного сайту: https://z-oleg.com/secur/avz/. Утиліта не вимагає установки, регулярно оновлюється і буде прекрасним доповненням до встановленого в системі антивірусу.

Для того щоб почати сканування комп`ютера на предмет руткітів і іншої зарази виберіть потрібний диск або папку (папки) в Області пошуку.

При скануванні програма автоматично буде детектувати руткіти. Якщо ж ви хочете, щоб разом з руткитами під ніж пішли троянські, рекламні та інші шкідливі програми, в розділі «Методика лікування» відзначте галочкою пункт «Виконувати лікування» і виберіть дію для кожного типу шкідливих програм. Рекомендую вибрати «Запитати у користувача».

Отже, приготування завершені. Сміливо натискайте кнопку «Пуск» і почекайте якийсь час, поки AVZ перевірить систему.

Якщо програма знайшла будь-які перехоплюють функції і видала вам ім`я файлу-перехоплювача, уважно до нього придивіться. Це може бути ваш міжмережевий екран, антивірус і інші мирні програми, а може бути і руткит. Тому в разі підозри на руткит краще звернутися в конференцію до розробників: https://virusinfo.info.

Отже, ми розглянули спеціалізовані утиліти, які дозволяють боротися з руткитами. У висновку хочемо попередити, що навіть використання зазначених програм не гарантує повного захисту, як втім, і використання будь-яких інших антивірусних програм. Слід визнати, що убезпечити комп`ютер від вірусів ми не в силах, тому варто частіше вдаватися до резервного копіювання даних, не встановлювати на свій комп`ютер що попало, а також про всяк випадок мати в ящику столу інсталяційний диск з Windows, щоб в будь-який час можна було перевстановити операційну систему. Одним з варіантів назавжди забути про віруси є установка на комп`ютер ОС Linux хоча б другий системою і хоча б для роботи в інтернеті, але це вже інша історія.

Спеціально для Ячайнік, Олена Карлтон

{Mosloadposition cpanel}