Руткит: эксперт маскировки вредоносного ПО

Чем более совершенные продукты программного обеспечения появляются на рынке информационных технологий, тем большая вероятность, что и развитие вредоносных программ не будет стоять на месте. И, если ранее робота вредоносных файлов (malware) сопровождалась разнообразными эффектами, что помогало их достаточно быстро выявить, то сегодня усилия киберпреступников направлены на разработку программных продуктов, деятельность которых максимально скрыта от пользователя, операционной системы и антивирусов. Особенности Rootkit отлично иллюстрируют эту тенденцию.

Руткиты

Последние двадцать лет достаточно активно развивается внедрение программ-руткитов. Своим появлением они обязаны системам вида UNIX, где группа утилит, принадлежащая самой системе, называлась rootkit и использовалась хакерами для проникновения, маскировки и получения прав системного администратора (root) для дальнейших скрытых действий. Сегодня под этим термином понимают набор инструментов - программ, действие которых заключается в сокрытии присутствия злоумышленника или вредоносного кода в операционной системе и открытие свободного доступа для других вредоносных программ и вирусов. Для своего скрытого присутствия и маскировки руткиты используют различные механизмы.

В целом, RootKit это класс malware, часто идущих в паре с троянскими или другими видами вредоносных программ. Сам по себе Rootkit ничего вредоносного не делает - его основная задача скрыть от посторонних глаз присутствие в системе определенных вредоносных программ. Зачастую RootKit может быть выполнен как специальным образом модифицированная системная программа (системный файл). Бывают случаи, что какой-то из важных системных файлов, после модификации в нём всего нескольких байт становится RootKit-компонентом, позволяя другому вредоносному ПО длительное время успешно скрываться в системе. При наличии  активного руткита в системе, очень трудно найти скрываемый им файл «вируса». К примеру, RootKit может перехватывать запросы на поиск файла и не показывать его в результатах. Таким образом, даже при физическом наличии файла его нельзя будет найти.

Самые известные руткиты и их распространение

Первый руткит для Windows был написан в далеком 1999 году экспертом в сфере безопасности Хоглундом и назван NT Rootkit. Он скрывал все файлы и процессы, в имени которых встречалось сочетание root, перехватывал информацию при наборе с клавиатуры и совершал другие подобные действия.

Одним из наиболее известных на сегодня руткитов является Hacker Defender, который работает на уровне пользователя. В 2005 году в системе защиты от копирования фирмы Sony был выявлен руткит XCP, который блокировал возможность отключения данной программы. После донесения этой информации до широкой общественности спустя некоторое время начали появляться вредоносные программы, включающие в своей структуре выше упомянутый руткит. Остаётся актуальным для современного пользователя существование таких известных руткитов, как TDDS, ZeroAccess, Alureon иNecurs.

На счету TDDS более 3 миллионов инфицированных компьютеров. Разработчики средств безопасности не оставляют своих усилий в попытке остановить распространение этого руткита и продолжают совершенствовать программы по его выявлению и нейтрализации.

Борьбой с ZeroAccess занялись специалисты из Microsoft совместно с представителями ФБР и Европола, и уже на первом этапе было выявлено более 2 миллионов ПК, скомпрометированных наличием вредоносного кода.

Alureon находят в 74% случаев обследования заражённых компьютеров. Этот руткит до сих пор удерживает одну из лидирующих позиций.

С 2010 года фиксируется распространение вредоносной программы Necurs, которая умело маскируюсь, препятствует своевременному выявлению.

Пути проникновения руткитов на ПК и методы защиты от них

Чаще всего в том, что в систему внедрился руткит, пользователю некого обвинять, кроме себя, своего чрезмерного любопытства или жадности. Пути проникновения этих вредоносных программ общеизвестны:

• фишинг;

• установление на ПК "ломаного" софта или игр;

• использование флеш-накопителей, подобранных в общественных местах, или происхождения которых пользователь не помнит.

При возникновении подозрения в неадекватной работе компьютера обновите установленные средства защиты и антивирусы. Постоянно фильтруйте информацию, которой Вы собираетесь предоставить доступ к своей машине. Не используйте подозрительные сайты, не открывайте письма и документы сомнительного происхождения. Всегда проверяйте все флешки, даже полученные от друзей или хороших знакомых, на наличие вредоносных программ. В сложных случаях обращайтесь к специалистам.

Придерживайтесь этих несложных методов профилактики - и вероятность проникновения вредоносного программного обеспечения на ваш ПК существенно снизится.