Руткіт: експерт з маскування шкідливого ПЗ

Чим більш досконалі продукти програмного забезпечення з’являються на ринку інформаційних технологій, тим більша ймовірність, що й розвиток шкідливих програм не затримається на місці. І, якщо раніше робота шкідливих файлів (malware) супроводжувалася різними ефектами, що допомогало їх досить швидко виявити, то сьогодні зусилля кібер-злочинців спрямовані на розробку програмних продуктів, діяльність яких максимально прихована від користувача, операційної системи і антивірусів. Особливості Rootkit наочно ілюструють цю тенденцію.

Руткіти

Останні двадцять років досить активно розвивається впровадження програм-руткітів. Своєю появою вони мають завдячувати системам виду UNIX, де група утиліт, що належала самій системі, називалася rootkit і використовувалася хакерами для проникнення, маскування і отримання прав системного адміністратора (root) для подальших непомітних дій. Сьогодні під цим терміном розуміють набір деяких інструментів - програм, дія яких полягає в приховуванні присутності зловмисника або шкідливого кода в операційній системі і відкриття вільного доступу для інших шкідливих програм і вірусів. Для свого приховування і маскування руткіти користуються різними механізмами.

В цілому RootKit це клас malware, які часто йдуть у парі з троянськими або іншими видами шкідливих програм. Сам по собі Rootkit нічого поганого не робить - його основне завдання приховати від сторонніх очей присутність в системі певних шкідливих програм. Найчастіше RootKit може бути виконаний як спеціальним чином модифікована системна програма (системний файл). Бувають випадки, що якийсь із важливих системних файлів, після модифікації в ньому всього декількох байт стає RootKit-компонентом, дозволяючи іншому шкідливому ПЗ тривалий час успішно ховатися в системі. За наявності активного руткіта дуже важко знайти приховуваний ним файл «вірусу». Наприклад, RootKit може перехоплювати запити на пошук файла і не показувати його в результатах, таким чином навіть при фізичної наявності файлу його не можливо буде знайти.

Найвідоміші руткіти і їх поширення

Перший руткіт для Windows було написано в далекому 1999 році експертом в сфері безпеки Хоглундом і названо NT Rootkit. Він приховував всі файли і процеси, в імені яких зустрічалося сполучення root, перехоплював інформацію з клавіатури тощо.

Одним з найбільш відомих на сьогодні руткітів є Hacker Defender, який працює на користувацькому рівні. У 2005 році в системі захисту від копіювання фірми Sony було виявлено руткіт XCP, який блокував можливість відключення даної програми. Після донесення цієї інформації до широкого загалу через деякий час почали з’являтися шкідливі програми, які до свого складу включали вище згаданий руткіт. Актуальним для сучасного користувача є існування таких відомих руткітів, як TDDS, ZeroAccess, Alureon і Necurs.

На рахунку TDDS  більше 3 мільйонів інфікованих комп’ютерів. Розробники засобів безпеки не зупиняють свої зусилля у спробі зупинити поширення цього руткіту і продовжують удосконалювати програми з його виявлення і нейтралізації.

Боротьбою з ZeroAccess зайнялися фахівці з Microsoft разом з представниками ФБР і Європолу, і вже на першому етапі було виявлено більше 2 мільйонів ПК, скомпрометованих наявністю шкідливого кода.

Alureon знаходять у 74% заражених комп’ютерів. Цей руткит й досі утримує одну із лідируючих позицій.

З 2010 року фіксується поширення шкідливої програми Necurs, яка досить вміло маскується і перешкоджає своєчасному виявленню.

Шляхи проникнення руткітів на ПК і методи захисту від них

Найчастіше в тому, що в системі оселився руткіт, користувачеві нікого звинувачувати, окрім себе, своєї надмірної цікавості чи жадібності. Шляхи проникнення цих шкідливих програм загальновідомі:

• фішинг;

• встановлення на ПК “ламаного” софту або ігор;

• використання флеш-накопичувачів, підібраних в громадських місцях, або походження яких користувач не пам’ятає.

При виникненні підозри в неадекватній роботі комп’ютера оновіть встановлені засоби захисту і антивіруси. Постійно фільтруйте інформацію, якій Ви збираєтеся надати доступ до своєї машини. Не використовуйте підозрілі сайти, не відкривайте сумнівні листи і документи. Завжди перевіряйте всі флешки, навіть отримані від друзів або добрих знайомих, на наявність шкідливих програм. У складних випадках звертайтеся за допомогою до фахівців.

Дотримуйтесь цих нескладних методів профілактики - і ймовірність проникнення шкідливого програмного забезпечення на ваш ПК суттєво знизиться.