Мегафон

Что такое руткит и как его удалить. Что такое руткиты. Программы для удаления руткитов

03.08.2019

В данной категории рассматриваются различные программы для поиска и удаления руткитов. Наибольшая опасность таких вредоносных программ заключается в том, что они получают контроль на уровне ядра операционной системы. Проще говоря, они становятся частью операционной системы, и могут делать что угодно. Скрывать процессы, блокировать доступ, использовать ваш компьютер для работы сети ботнета, загружать различные программы и много другого. При этом вы можете даже и не подозревать, что у вас находится руткит. Потому что их основная задача не сломать или каким-то образом засорить систему (хотя и такие бывают), а скрытно действовать в течении длительного времени. Некоторые из таких руткитов даже способны блокировать работу антивирусных программ .

Обзор бесплатных программ для удаления руткитов

Существует много программ для борьбы с руткитами. Но, большинство из них предназначены для технически подкованных пользователей, которые хорошо знают особенности работы операционных систем. Такие программы вряд ли подойдут обычным пользователям. Однако, в данном классе программ есть и несколько вариантов, которые не потребуют от пользователей особых технических знаний, при этом они будут столь же эффективны.

Программа удаления руткитов Kaspersky TDSSKiller от одноименной компании

Одним из лучших решений можно назвать . Данная программа имеет достаточно простой и понятный интерфейс. Она достаточно быстро работает, и способна обнаружить достаточно большое число руткитов.

На самом деле сложно их порекомендовать обычным пользователям, ведь результаты для них могут показаться просто набором непонятных символов (результаты имеют чисто технических характер, т.е. полное отсутствие красивых фраз "Утилита все сама очистила", "Вам не о чем беспокоиться" и т.д.). Обычно действовать необходимо быстро, поэтому эти программы вы вспомните в последнюю очередь. Но, если все же вы каким-то образом поймали особо редкий и сложно очищаемый руткит, то они станут неоценимыми помощниками в борьбе за свой компьютер, ведь вам будет предоставлен огромный спектр полезной информации.

Программа удаления руткитов Avast Anti-Rootkit от известного производителя

Интерфейс напоминает окно командной строки, но не надо пугаться, ведь интерфейс очень простой и понятный в использовании. Эта программа может сканировать компьютер и MBR на наличие руткитов, а так же фиксировать ряд проблем. Обычным пользователям может быть немного не просто понять результаты работы программы, но тем не менее, программа свою задачу выполняет хорошо. Она так же хорошо нашла TDSS и ряд других современных руткитов, как и TDSS Killer. Но, были небольшие проблемы при их удалении. Зато у данной программы есть одна важная функциональность, без которой порой сложно обойтись при удалении руткитов. Это возможность выполнить FixMBR прямо из Windows. Обычно для этого нужно загрузиться с диска восстановления Windows или LiveCD. А в данной программе для этого надо всего лишь кликнуть на кнопке FixMBR. Именно поэтому такую программу стоит всегда держать при себе.

Антивирусное средство Dr.Web CureIt! профилактика полезна

Следующий продукт, который входит в обзор - это . Его всегда стоит держать при себе. CureIt! не является полноценным инструментом для поиска и удаления руткитов, как другие программы, о которых шла речь ранее. Это скорее бесплатный сканер вредоносных программ , по сути, миниантивирус. Но, он достаточно эффективен при борьбе с рядом руткитов. Правда, гарантировать, что он сможет выловить все руткиты тоже нельзя. Его скорее стоит применять как дополнение к основному средству по борьбе с руткитами. Тем не менее, стоит отметить, что на время своего сканирования он создает достаточно безопасную среду исполнения. Тот факт, что он останавливает все процессы делает ему только плюс, так как вредоносные программы могут попытаться блокировать его работу. Он так же может производить глубокое сканирование вашего диска. Так же позволяет перезагрузиться в безопасный режим для поиска и удаления вредоносных программ.

Ещё утилиты для поиска и удаления руткитов

Sophos Anti-Rootkit (теперь называется Sophos Virus Removal Tool, к сожалению стала триальной, возможно, старые версии еще можно найти на файловых хранилищах) - неплохая и простая в использовании программа, без возможности указывать тип сканирования (она сканирует все). Но, также как и CureIt!, ее сложно назвать специализированной программой для поиска и удаления руткитов. Т.е. тоже можно использовать как дополнение к основному средству, правда в отличие от CureIT! она требует установки. Процесс работы очень прост. Вы просто запускаете сканирование и ожидаете результатов. После окончания поиска в интерфейсе появляется список обнаруженных угроз. При этом вы можете развернуть каждую угрозу и посмотреть где именно располагаются хвосты каждой конкретной угрозы. Возможно она была бы отличной утилитой по поиску и удалению руткитов, если бы она не была переориентирована со специализированного средства до миниантивируса.

F-Secure Blacklight (к сожалению, сайт недоступен, необходимо искать версию на файловых хранилищах) это еще один отличный инструмент для удаления руткитов. К сожалению, его поддержка закончилась пару лет назад, и теперь его даже не найти на их сайте. Тем не менее, он все же есть на просторах интернета и совместим с Windows Vista и XP. Если вы попытаетесь запустить его на Windows 7, то будьте готовы увидеть диалоговое окно с сообщением "несовместимая ошибка".

BlackLight хорошо находит и удаляет старые руткитами, но рассчитывать на то, что он сможет обнаружить самые современные руткиты - будет грубой ошибкой. Именно поэтому все же рекомендуется использовать другие программы.

Руководство по быстрому выбору (ссылки для скачивания бесплатных программ для удаления руткитов)

Kaspersky TDSSKiller

Простой и понятный интерфейс. Быстро работает. Справляется с известными современными руткитами.
Очень похоже, что программа распознает только небольшой диапазон руткитов.

GMER

Отличный инструмент с подробными техническими отчетами о сканировании.
Нет файла справки, но информация есть в интернете. Не подходит для обычных пользователей.

Avast Anti-Rootkit

Хорошо работает. Обнаруживает большинство руткитов. Проста в использовании. Возможность "Fixmbr "в Windows - неоценимо.
Результаты иногда трудно понять. При попытке удалить некоторые руткиты зависала.

Dr.Web CureIt!

Останавливает процессы. Создает собственную среду исполнения.
Нельзя использовать как основное средство по борьбе с руткитами.

Сегодня Вы узнаете, что такое руткит и как удалить руткит со своего компьютера, обезопасив свой компьютер от этих вредоносных программ.

Что такое Руткит?

Руткит (RootKit) - это программа, сценарий либо некоторый набор программных инструментов, который предоставляет злоумышленнику (владельцу руткита) полный доступ к компьютеру другого пользователя или же, в худшем случае, сети в целом. Под "полным доступом" здесь непосредственно имеется в виду доступ уровня главного администратора (Head Administrator, SuperWiser) . Стоит понимать, что Руткит - это не просто опасная утилита, она действует таким образом, чтобы внедрить на ваш ПК вредные "дополнения" или приложения: трояны, шпионское ПО и прочие вирусы.

Почему руткиты так опасны?

Основная форма атаки руткитов - скрытность. Они будут скрываться глубоко в недрах вашего компьютера. Поскольку они имеют доступ уровня администратора, они осуществлять, например, блокировать ваш Windows-поиск и скрыть любую информацию о RootKit"ах, контролировать AntiVirus и в прямом смысле "приказать" ему игнорировать Rootkit, скрывать из списка активных процессов и многое другое!

Самый известный Руткит был установлен на некоторые устройства Sony. Sony спрятал RootKit на компьютерах людей как часть своей стратегии цифрового управления правами. Это предоставило им эффективный контроль над компьютерами пользователей. Эксперт по вопросам безопасности Sysinternals обнаружил данный RootKit и это вызвало огромный резонанс в мировом сообществе. Sony предлагало загрузить пользователям RootKit
как дополнительное ПО, а также выставляло его в качестве необходимого процесса.
Это подтверждает факт, что RootKit очень трудно обнаружить, и это делает их опасными.

Как удалить Руткит

Ответить на этот вопрос очень трудно. Не ожидайте, что ваш антивирус или фаервол со 100% вероятностью поможет Вам здесь. Самые лучшие RootKit могут легко победить Ваше антивирусное программное обеспечение, так что для того, чтобы удалить руткит Вам нужны специальные инструменты.

Для этого существуют специальные программы и сервисы. Одним из отечественных разработчиков можно смело считать Лабораторию Касперского и специально написанный "киллер" руткитов, который можно скачать по этой ссылке . Да и в целом их продукты довольно качественны, так можете , а затем , что на самом деле довольно просто.

Похожие новости:

Безопасность Безопасность

Руткит (англ. rootkit) - это специальная программа или набор программ, которые предназначены для скрытия следов злоумышленника или вредоносной программы в системе. Заполучив такое "добро" на свой компьютер, вы предоставляете хакеру возможность подключаться к нему. Он получает доступ к управлению вашим компьютером и дальнейшие действия "вредителя" зависят только от его фантазии.

К тому же, все усугубляется тем, что руткиты активно препятствуют своему обнаружению и сделать это с помощью стандартных антивирусов порой бывает достаточно трудно. Проще говоря - вы даете доступ к своему компьютеру даже не зная этого и злоумышленник пользуется вашими данными незаметно от вас.

План урока представлен ниже:

Как удалить руткит программой TDSSKiller.

Так как от простых антивирусных программ руткиты в основном умеют прятаться, то на помощь в их удалении обычно приходят специальные программы. Первой на очереди у нас идет программа от лаборатории Касперского, которая подарила нам замечательный антивирус. Скачать утилиту можно на официальном сайте Касперского в разделе "Поддержка" по . Открываем спойлер "Как вылечить зараженную систему" и переходим по ссылке для закачки.

Ждем, пока программа просканирует и, при необходимости, вылечит операционную систему. К счастью, на моем компьютере угроз обнаружено не было.

При нахождении угроз они автоматически нейтрализуются. Примечательно то, что для лечения даже не требуется перезагрузки.

Как удалить руткит программой RootkitBuster.

Вторая программа, которую мы рассмотри, называется RootkitBuster и скачать ее можно с официального сайта . Преимуществом программы является то, что она не требует установки на компьютер.

На следующей странице выбираем для какой версии Windows необходимо скачать программу. О том как узнать разрядность операционной системы я говорил в своем уроке про . Далее в окне щелкаем по кнопке "Use HTTP Download" и сохраняем файл к себе на компьютер.

После закачки щелкаем по файлу правой клавишей мыши и выбираем пункт "Запуск от имени администратора". Необходимо будет немного подождать. Откроется новое окно, в котором необходимо поставить галочку на принятии лицензионного соглашения и нажать кнопку "Next".

Вы попадете в главное окно программы, где для сканирования нужно будет нажать кнопку "Scan Now", при этом нужно оставить галочку на всех пунктах в левой колонке, кроме "File Streams" (на 64 разрядных системах количество настроек может быть меньше).

После сканирования вы получите уведомления об обнаруженных подозрительных файлах. Эти файлы можно выделить галочками и внизу нажать кнопку "Fix Now". В процессе удаления руткитов, в может быть предложено перезагрузить компьютер, обязательно соглашайтесь.

Как удалить руткит программой Sophos Anti-Rootkit

Ну и напоследок давайте разберем еще одну утилиту, которая помогает избавиться от руткитов. Она пригодится вам в том случае, если первые два оказались нерабочими или вам пришлись не по душе.

Запускаем программу, в настройках сканирования оставляем все галочки и нажимаем кнопку "Start scan".

Поиск руткитов может продолжаться достаточно долго. В конце вы получите полный отчет по найденным проблемам в виде списка. Замечу, что здесь есть одна особенность. Когда вы выбираете найденный файл в списке после сканирования, в окне ниже появляется его описание. Если в строке "Removable" стоит значение "Yes (but clean up not recommended for this file)", то это файл удалять не рекомендуется, так как он является системным и его удаление может повлиять на работу всей операционной системы.

Все остальные записи, у которых нет указанной выше строки, вы можете смело выделить галочками и удалить с помощью кнопки "Clean up checked items". В моем примере я не стал дожидаться окончания сканирования и на скриншоте ниже показал процесс удаления лишь для примера.

Вот такие три способа можно использовать для удаления руткитов с вашего компьютера. Программы все очень легкие и не требуют каких-то особенных знаний. Выбирайте тот способ, который считаете самым удобным. Также, в некоторых антивирусах уже начали встраивать подобную защиту, поэтому при выборе антивирусного решения ориентируйтесь и на встроенную защиту от руткитов.

Статья будет посвящена программе под названием AdwCleaner. Совместима она со всеми версиями операционной системы Windows и позволяет очистить ваш компьютер от таких зараз как рекламные объявления, потенциально опасные программы, разнообразные рекламные тулбары и замены домашней страницы браузера.

Вирусы становятся все более изощренными. На смену вредоносному ПО, которое просто портило данные, давно уже пришли средства для предоставления злоумышленникам контроля над вашим ПК. Из таких зараженных компьютеров давно уже составляются целые сети, которые выполняют различные задачи (рассылка спама, организация DDOS-атак). Однако для того чтобы получить доступ к управлению удаленным компьютером необходимо сначала внедрить в него какое-то управляющее ПО. Этим и занимаются вирусы. Вы спросите: «Как же они обходят антивирусные программы?» Способов придумано довольно много. Один из них - использование так называемых руткитов.

Руткит - способ сокрытия факта заражения

Руткит - это вовсе не вирус, как считают некоторые. Сам он никакого вреда не приносит. Руткит - это всего лишь программа или набор программных средств для сокрытия ряда объектов или определенного вида активности в системе. Такой маскировке, как правило, подвергаются ключи реестра, отвечающие за автоматический запуск вредоносного кода; файлы, содержащие вирусные сигнатуры или тело вируса; сетевые соединения вируса; активные процессы в зараженной системе, а также иные проявления вредоносной активности. Таким образом, руткиты продлевают время работы вредоносного кода до обнаружения его антивирусами или внимательным пользователем, путем затруднения обнаружения.

На самом деле, ситуация-то достаточно типичная. ПК, вроде бы в порядке. Антивирус молчит, в списке автозапуска чистота и порядок, лишних процессов нет. Однако в это самое время ваш компьютер может тихонечко рассылать спам, участвовать в атаке на сайты и т.п. «милые шалости». Такая ситуация может продолжаться долгое время. Даже годами!

Сам термин «руткит» (английский вариант - rootkit) сформировался в среде пользователей операционных систем UNIX. Так называли набор утилит или даже специальный модуль ядра системы, которые устанавливались на взломанной системе после получения хакером прав root (суперпользователя). Такой «джентельменский» набор позволял и далее держать взломанную систему под незаметным контролем. Именно для этого в состав rootkit входили утилиты для маскировки самого факта вторжения в систему.

Спите спокойно, жители Багдада, или как же маскируются руткиты?

Большинство современных антивирусных программ распознают вредоносное программное обеспечение по так называемым «сигнатурам». Они представляют собой характерные специфические цепочки кода, содержащиеся в теле вируса. Именно из таких сигнатур состоят, в большинстве своем, базы данных антивирусов, которые мы скачиваем с сайтов производителя. Такие цепочки кода - особые приметы вирусов, троянов и т.п. гадости, по которым антивирусная программа может опознать зловреда для того, чтобы его уничтожить.

Хорошие антивирусы также имеют блок так называемого «эвристического» анализа, который может распознать вредоносное программное обеспечение по ряду особенностей его поведения. Список таких «характерных» действий довольно велик и включает в себя диапазон от простейших удалений файлов какого-либо вида до хитрых изменений в ядре системы или подмены важных системных файлов или путей. Чем изощреннее становятся вирусы, тем более разветвленные алгоритмы приходится строить для эвристического анализа программистам, занимающимся разработкой антивирусных средств.

Как же может руткит обмануть такую многоуровневую защиту? Для этого они манипулируют процессами обмена данных между приложениями. Руткиты попросту удаляют сведения о себе и о вредоносном софте, который они «опекают» из этих процессов. Антивирусная программа в таком случае получает заведомо ложную информацию о полном благополучии в системе. Ни в блок сравнивающий сигнатуры, ни в блок эвристики просто не поступает данных, способных привести к тревоге.

Как руткиты попадают на компьютер?

Вариантов распространения такого рода программ огромное множество. Руткит может попасть в компьютер через вложенный в электронное письмо файл, может быть принесен на флешке ничего не подозревающим другом в виде зараженного или фальшивого документа DOC или PDF, может быть скачан из интернета вместе с бесплатной игрой или иным софтом (особенно часто это бывает, когда программы скачиваются не с сайта разработчика или известных надёжных софт-архивов, а с разных «пиратских» сайтов). Общим для этих способов является одно - пользователь сам запускает руткит на компьютере, не осознавая, что он делает. Кстати, пока руткит не запущен и лежит в латентном состоянии в виде документа, он становится легкой добычей для большинства антивирусов. Однако после запуска он тут же перехватывает системные процессы и отловить его становится довольно проблематично.

Еще один весьма нередкий путь распространения руткитов - различные интернет-сайты. Это могут быть и вполне приличные сайты, чьи хозяева и не подозревают, что их детище взломано и распространяет заразу, а могут быть и специально созданные сайты для распространения руткитов. В этом случае пользователю достаточно открыть веб-страницу сайта, после чего руткит попадает в его ПК. Это возможно благодаря наличию «дыр» в системе безопасности ряда браузеров. Особенно часто такое бывает, когда браузер не обновляется регулярно.

Как избавиться от руткитов?

А вот об этом мы поговорим с вами в следующей статье, которая так и будет называться « ».

Руткит (rootkit) - это вредоносное программное обеспечение (программа), позволяющее скрыть следы деятельности вируса (вредоносной программы) в системе.

Руткит устанавливается сразу, как только получает доступ к атакуемой системе - компьютеру или ноутбуку.

Руткиты не только сами стараются быть незаметными, но и скрывают различные другие вирусы, которые смогли проникнуть в систему компьютера. Незаметные для программ защиты они атакуют компьютер. Так руткиты могут передавать персональные данные пользователя (логины и пароли) хакерам, выполнять установку других вирусов и пр.

Руткиты различаются по способу их выполнения и постоянству активации.

    По способу выполнения руткиты бывают:
  • 1. Руткиты, которые модифицируют структуру данных ядра операционной системы;
  • 2. Руткиты пользовательского режима, в этом случае идет перехват системной информации.
    По постоянству активации различают:
  • 1. Постоянные руткиты, которые активируются при каждом запуске системы;
  • 2. Непостоянные руткиты, которые не могут запускаться самостоятельно после перезагрузки операционной системы.

Руткиты попадают в ПК разными путями. Пользователь может заразить свой компьютер, если зайдет на зараженный сайт, который подвергся хакерской атаке. Иногда руткит может находиться в письме, замаскировавшись под прикрепленный документ. Пользователь, попытавшись открыть такой документ, на самом деле активирует вредоносную программу и заражает свой компьютер. Обычно руткит изменяет какую-нибудь библиотеку операционной системы - файл с расширением *.dll, так его становится трудно обнаружить, и он спокойно может загружать на компьютер или ноутбук различные вирусные программы, о чем пользователь знать не будет.

Существует множество способов защиты компьютера от руткитов. В первую очередь к ним относится установка защитных программ: качественного антивируса и файрвола. Антивирусная программа должна быть лицензионной и всегда активной, а файрвол защитит компьютер пользователя от нежелательного доступа. Пользователь должен следить, чтобы противовирусные программы регулярно обновлялись.

Тем не менее, защита компьютера от руткитов не так проста, как может показаться на первый взгляд. Антивирусная программа способна распознать руткит, только когда он неактивен. Но как только пользователь, сам того не подозревая, активирует руткит, он активируется и проникает в систему, и антивирус уже не может его обнаружить. После активации руткита выявить его могут только специальные программы, например, AVG Anti-Rootkit, Gmer и прочие.

Руткиты - это новый вид вредоносных программ, которые гораздо опаснее обычных вирусов. С их помощью хакеры заражают компьютеры и через сеть Интернет получают доступ к конфиденциальной информации пользователя, они создают из зараженных компьютеров целые сети, что позволяет им устраивать массовые хакерские атаки на различные электронные ресурсы глобальной сети.