|
| | |
  4.18, Голосов: 33
|
| |  |
Программы для удаления руткитов
| | В Мой Мир | Опубликовать |
| В Мой Мир | |
Если в вашем ПК завелись
Еще недавно злоумышленники писали лишь те
И жить спокойно. Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщают «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать
Что такое руткиты?
Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки – незаметно для
Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать замаскированных вредителей и затем использовать их по своему усмотрению.
Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения.
ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.
Как маскируются руткиты?
Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам – характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить вредителя. Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают вредителей по некоторым особенностям их поведения – этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его самого – уничтожить.
Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях.
Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.
Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные.
Как распространяются руткиты?
Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
Еще один путь распространения – подвергшиеся хакерской манипуляции сайты. Ничего не подозревающий пользователь просто открывает веб-страницу, и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров.
Как избавиться от руткитов?
Установите программу GMER, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых вредителей других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления вредителей следует проверить систему обычным антивирусом: например, из пакета программ Kaspersky Internet Security.
Обобщение результатов тестирования
Наш тест восьми антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».
Распознавание руткитов
В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных вредителей. Обнаружить все активные руткиты смогли лишь три программы: победитель теста GMER 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, GMER оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.
Удаление руткитов
Ничуть не лучше обстояло дело с удалением вредоносного «софта». GMER, хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста GMER не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.
Слишком сложное управление
То, что обнаружение скрытого вредоносного «софта» – дело серьезное, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя...
Итог
К нашей радости, победитель теста – GMER 1.0 – и второй призер, AVG Anti-Rootkit, обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. GMER, кроме того, распознала всех замаскированных вредителей, которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И GMER, и AVG Anti-Rootkit удаляют большую часть найденных вредителей, но все-таки не всех... Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».
«Самодельные» руткиты
Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»... Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте популярного производителя антивирусов Panda Software, Pinch Builder Trojan может:
1. красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
2. считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
3. скрывать свои вредоносные функции – программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».
Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания «троянцев» уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных вредителей, руткиты станут настоящим бедствием для пользователей».
Как мы тестировали
Совместно с экспертами лаборатории AV-Test ComputerBild провел испытания 8 программ, предназначенных для распознавания и удаления скрытых вредителей. При этом эксперты использовали компьютеры с ОС Windows XP и Windows Vista.
Распознавание вредителей
Обнаружение вредителей – первая задача «руткит-киллеров». Обычно они попадают в компьютер при скачивании данных из Интернета или в виде почтовых вложений. На этой стадии они находятся в неактивном состоянии и их защитные функции руткита пока не «включены». Могут ли участники нашего теста обнаруживать неактивные руткиты? Чтобы выяснить это, эксперты для проверки каждого «руткит-киллера» заражали компьютер со свежеустановленной ОС Windows одним руткитом. Эта процедура повторялась для каждого из 30 тестовых руткитов. В общей сложности эксперты лаборатории AV-Test только в этой категории провели 1080 испытаний. Как показали результаты тестирования, обнаружить руткиты с активной маскировкой гораздо сложнее. В этом случае вредители скрываются глубоко в операционной системе, причем один и тот же руткит может оказываться в совершенно разных местах. Именно поэтому при тестировании в этой категории мы использовали для каждого вредителя отдельный компьютер со «свежеустановленной» Windows.
В следующей тестовой категории «руткит-киллеры» должны были обнаружить 2200 вредителей, забравшихся под «шапку-невидимку» руткитов (вы ведь уже знаете, что руткиты не только прячутся сами, но и скрывают другой вредоносный «софт»).
Удаление вредителей
Обнаружением вредителей дело не кончается: теперь программы-антируткиты должны избавить компьютер от этой напасти. Здесь эксперты тестовой лаборатории проверяли способность каждой программы к удалению неактивных и активных руткитов. То же самое относится, конечно, и к 2200 другим вредителям, которые могут маскироваться в системе с помощью руткитов. Все они должны исчезнуть с жесткого диска.
Проверка управления
Легко ли будет пользователю находить и удалять руткиты? Чтобы ответить на этот вопрос, эксперты обращают внимание на внятность сообщений, которые программа выдает при обнаружении руткита. Предмет и так достаточно сложен, поэтому загадочные сообщения, перегруженные специальными терминами, не должны ставить пользователя в тупик. Кроме того, проверяется, насколько просто запускается процесс проверки компьютера.
| В Мой Мир | |
ComputerBild № 03/2008
|
4.18, Голосов: 33
|
| | Добавить в избранное | | |  Отправить ссылку другу |
| |  Версия для печати |
| |
Комментировать |
||
Комментарии (12)
Настя говорит:
Мне это очень помогло.Я узнала что это такое и как их можно удалять и через какие программы.
денис говорит:
что-то мне не помогло. все равно как сидели так и сидят.
Катя говорит:
AVG не смог удалить вот эти: Сканирование "Сканирование Anti-Rootkit" завершено. Руткиты;"2";"0";"2" Сканирование запущено:;"11 июня 2010 г., 13:09:51" Сканирование завершено:;"11 июня 2010 г., 13:15:27 (5 мин 36 секунда(ы))" Всего сканировано объектов:;"20599" Пользователь, запустивший процесс сканирования:;"SYSTEM" Руткиты Файл;"Заражение";"Результат" C:\Windows\System32\Drivers\ai6gpnt5.SYS;"Скрытый драйвер";"Объект скрыт" Q:\140062.rus\OFFICE14\WINWORD.EXE;"Скрытый файл";"Объект скрыт" Как быть подскажите? Заранее спаибо!
Vlad говорит:
Надо попробывать  |
||
Популярные статьи
Чушь собачья. Нормальный руткит ни одна прога не найдёт. Статья для детей. Малых, неразумных.