руткиты-что это? - Мои статьи - Каталог статей

Пожалуй, единственное, за что можно уважать авторов всякого рода вирусов и троянов — это их изобретательность. Какие бы заслоны ни ставил пользователь, как бы ни изощрялись создатели защитного ПО, все равно найдется умелец, который придумает способ проникнуть на чужой компьютер и напакостить.

В деле маскировки своих творений категория программистов, создающая вредоносное программное обеспечение, не знает себе равных: код, попавший в систему, незамедлительно маскируется под вполне себе приличные программы или даже частично заменяет их некоторые компоненты, наравне с выполнением обязанностей предшественника успевая провернуть и свои темные делишки. И, пожалуй, наибольших высот в деле маскировки достигли так называемые руткиты, основная цель которых — дать своему создателю максимальную власть над компьютером ничего не подозревающего пользователя. Вот о защите от подобных «подарков» мы сегодня и поговорим.

Но для начала более подробно ознакомимся с этими самыми руткитами. Странное название происходит от английского root kit, что означает «набор средств для получения администраторских привилегий». Впрочем, и эта расшифровка мало что говорит большинству пользователей Windows, что, в общем, вполне объяснимо: данный термин, как и сам вид подобного вредоносного ПО, корнями уходит в операционные системы семейства UNIX. Политика безопасности в данных системах (к которым, кстати, относится и GNU/Linux) четко разграничивает права доступа к различным компонентам, в результате чего обычный пользователь может вносить изменения только в узкий перечень файлов и каталогов, не влияющих на работу всей системы, а полноценную власть над установленным программным обеспечением имеет только администратор (или root в английской терминологии). Отсюда становится понятно, что собственно пользователь мало интересует внешних агрессоров, а вот приобрести права администратора — заветная мечта любого «взломщика». Только тогда он получает полноценную власть над системой и может реализовать любые свои фантазии.

Справедливости ради следует сказать, что в последних версиях Windows также существует возможность разделения прав доступа, но в большинстве случаев пользователи игнорируют данную функцию, да и производители софта фактически принуждают их к этому, выпуская программы, пользоваться которыми без прав администратора зачастую невозможно. Все это в итоге ведет к довольно плачевным последствиям проникновения в систему вредоносного кода, и особенно — тех самых руткитов. Попадая на компьютер, эти лазутчики могут легко перехватывать системные функции, что, в первую очередь, способствует отличной маскировке: любые нежелательные действия подобных программ или выглядят как вполне обычная работа системных служб, или просто скрываются от всех средств мониторинга, включая список запущенных процессов. Нередки случаи, когда руткиты устанавливают свои собственные драйверы или службы, тем самым получая максимальный контроль над компонентами операционной системы и компьютера, оставаясь, естественно, невидимыми для посторонних глаз. Отловить подобных «вредителей» сложно, но можно: многие антивирусные программы обладают соответствующими модулями, специально обученными выявлять «невидимок». Но стоит признать, что не всегда даже именитые антивирусы полноценно справляются с руткитами. Именно поэтому стоит обратить внимание на программу под незатейливым названием Sophos Anti-Rootkit компании Sophos, предназначенную для отлова исключительно подобного цифрового вредоносного инвентаря. По словам разработчиков, благодаря уникальному алгоритму сканирования приложение способно обнаружить даже те руткиты, которые пока отсутствуют в базах данных разработчиков аналогичных программных инструментов. Что ж, поверим авторам на слово и попробуем их разработку в действии.

Программа Sophos Anti-Rootkit, не так давно обновившаяся до версии 1.3, максимально проста в работе, поэтому освоить ее не составит труда даже начинающим пользователям. Прежде всего следует загрузить установочный файл размером всего 1,1 Мбайта с официального сайта компании-разработчика. Для этого придется пройти несложную регистрацию, не забыв указать, что использоваться сей хитрый инструмент будет исключительно в мирных целях по защите домашнего компьютера — в этом случае разработчики предоставляют свое детище совершенно бесплатно. По окончании загрузки можно незамедлительно приступать к установке: достаточно согласиться с условиями лицензирования и выбрать каталог установки — остальное программа сделает сама. По окончании данной несложной процедуры мы получаем приложение, полностью готовое к работе.

В окне программы предлагается выбрать, какие компоненты следует проверить на наличие скрытых руткитов (рис. 1). Сканирование можно осуществлять среди активных в данный момент процессов, записей реестра Windows или непосредственно на жестких дисках, имеющихся на компьютере. Наличие подобного выбора позволяет значительно сократить время поиска вредоносного содержимого, нужно указать только тот компонент, который попал под подозрение на наличие установленных руткитов. Если программа запускается первый раз, рекомендуется провести полную проверку, чтобы уже не оставалось сомнений в целостности всех компонентов компьютера. Тем более что Sophos Anti-Rootkit работает довольно шустро, успевая закончить работу в течение нескольких минут (рис. 2).

В случае обнаружения руткита программа постарается дать наиболее полную информацию о злоумышленнике, разместив описание в своем рабочем окне. Для удаления инородного компонента достаточно выделить его в списке и воспользоваться соответствующей кнопкой в интерфейсе программы — приложение постарается максимально бережно восстановить прежнее «доруткитовское» состояние системы. Если же вам повезло, и на момент проверки в системе отсутствуют какие-либо нежелательные гости, Sophos Anti-Rootkit сообщит вам об этом по окончании сканирования с помощью соответствующего диалогового окна (рис. 3). В случае же обнаружения оных становится доступной кнопка Cleanup checked items, позволяющая их обезвредить.

На этом весь процесс очистки системы завершен, и можно спокойно переходить к своему обычному времяпрепровождению. Нелишне будет напомнить, что подобную проверку имеет смысл делать достаточно регулярно, чтобы вовремя избавиться от возможных незваных гостей, приютившихся в системе по причине ваших неосторожных действий в сети. Можно поместить данное приложение и в автозапуск, что позволит производить проверку при каждом старте компьютера.

Впрочем, 100-процентной гарантии, как известно, не бывает. После проверки системы при помощи Sophos Anti-Rootkit, бодро отрапортовавшем о «полной чистоте» (на рис. 3), проверка пакетом от Avast показала, что один руткит все же притаился в недрах моей системы. Разбираться, насколько он опасен, я не стал, но осадочек остался...

Напоследок немного статистики. По мнению экспертов, около 50% проблем с компьютерной безопасностью в корпоративном секторе создают именно руткиты. Конечно, не следует паниковать, если ваш компьютер трудится исключительно в мирных домашних условиях: вряд ли кто-то будет целенаправленно пытаться разместить на нем свои шпионские модули, ведь никакого особого выигрыша от контроля над скромной персоналкой не получится. Но при этом не стоит и излишне расслабляться, чтобы потом не удивляться и не тратить время на восстановление работоспособности системы. Правда, в последнее время все чаще домашним компьютерам доверяются и финансовые вопросы, особенно в свете развития онлайновых платежных систем. А потеря этих средств, даже если вы являетесь обладателем не самых больших капиталов в электронном виде, явно не улучшит настроение. Поэтому лучше заранее подстраховаться и обезопасить себя от потенциальных проблем.