Как удалить rootkit (руткиты) в gnu/linux

Классификация руткитов

По типу привилегий руткиты делятся на два вида: пользовательский (выполняет действия от имени учетной записи пользователя) и работающий на уровне ядра. Принцип работы руткитов тоже можно разделить на две категории: изменяющие алгоритмы системных функций и изменяющие системные структуры данных.

В операционных системах Windows руткиты могут работать следующими способами:

1. Захват таблиц вызовов

Такой руткит (rootkit) способен действовать как на уровне пользователя, так и на уровне ядра. Изменяя таблицу, он перенаправляет вызовы системных функций на нужные ему адреса — например, на те, по которым находятся функции троянской программы. В результате перехваченная процедура может обойти антивирус (путем блокировки вызовов от него) или заменить исходную функцию.

Есть основания считать данный тип руткитов самым изощренным. Его возможности шире, чем у второго типа, описанного далее. Вызвано это тем, что руткиты-захватчики таблиц вызовов могут работать как на уровне ядра, так и на уровне пользователя.

2. Модификация кода функции

При данном виде работы руткита первые несколько байт вызываемой функции заменяются на вредоносный код. Реализация этого подхода имеет нюанс: для каждого вызова перехваченной функции требуется сначала восстанавливать ее машинный код до состояния, в котором он был до вызова, чтобы потом снова перехватить ее.

Перехватчик работает по следующему алгоритму:

  1. Выполняет действия, которые задумал злоумышленник.
  2. Восстанавливает первые байты перехваченной функции.
  3. Анализирует выходные данные функции.
  4. Возвращает управление функцией системе.

Также для перехвата функции можно заменить ее первые байты операцией jmp, которая передает управление руткиту. Однако такую операцию легко разоблачить, если проверять первые байты вызываемых функций на ее наличие, поэтому большинство киберпреступников «затирает» несколько байт перед операцией jmp бессмысленными операциями вроде mov a, b.

Для UNIX-подобных операционных систем руткиты могут реализовываться следующими способами:

  1. Заменой системных утилит.
  2. В виде модуля ядра.
  3. С помощью патчинга VFS.
  4. Перехватом таблиц системных вызовов.
  5. Изменением физической памяти ядра.

Предисловие к послесловию

Можно задать автоматическое сканирование, чтобы rkhunter запускалась строго по расписанию. Для этого нужно добавить задание в cron (об этом планировщике заданий мы поговорим в другой раз). Откройте файл (от себя, от суперпользователя не надо) /etc/crontab командой:
и добавьте туда следующие строки (Вы можете поставить свои удобные числа):
Автоматически откроется текстовый редактор vi, где Вы сможете вводить текст Вашего первого (а может уже и не первого) маленького сценария для cron.
Краткая справка по редактору vi:

    • чтобы вставить текст надо нажать i, затем можно вводить текст
    • чтобы удалить символ(ы) сначала нажать ESC, а затем набрать x
    • чтобы выйти из vi без сохранения нужно нажать ESC, а затем набрать :q!
    • чтобы сохранить и выйти надо нажать ESC, а затем набрать :wq

А теперь удостоверимся, что мы внесли задания в cron. Введите команду:

Задание для cron создано.

Поиск и удаление руткитов

Перед тем, как удалить вирус, его нужно там отыскать, что не всегда легко. Поэтому, если есть подозрение на заражение, а данные на дисках не представляют особой ценности, то самый простой способ избавиться от «заразы» – переустановить систему с полным форматированием.

Если же вы готовы «принять бой», тогда вам понадобится софт для удаления руткитов. Из хорошо зарекомендовавших себя стоит упомянуть RootkitBuster, Anti-Rootkit, TDSSkiller, Bitdefender Rootkit Remover. Все они довольно просты в использовании, большинство русифицированы.

Узнав, что такое руткиты и чем они опасны, полагаем, вы станете более осторожно относиться к защите своего компьютера. Всегда нужно иметь актуальную версию лицензионного антивируса и фаервола, не кликать по подозрительным ссылкам и не посещать ненадежные сайты

Не помешает периодически проверять систему на наличие вирусов с помощью вышеупомянутых программ.

4.4 Перехват функций LoadLibrary и GetProcAddress

Перехват функций LoadLibrary и GetProcAddress может быть выполнен любым
методом, в классической реализации применяется методика 2 – модификация таблицы
импорта. Идея методики проста – если перехватить GetProcAddress, то при запросе
адреса можно выдавать программе не реальные адреса интересующих ее функций, а
адреса своих перехватчиков. Как и в методе 2 программа «не почувствует»
разницы. При вызове GetProcAddress она получает адрес и выполняет вызов
функции. У данного метода есть минус – он не позволяет перехватить статически
импортируемые функции;

Рис.
5 Перехват функций LoadLibrary и GetProcAddress

Примеры руткитов и причиняемый ими вред

Аналогично вирусам, к сожалению, существует множество руткитов и для Windows и для коммерческих дистрибутивов Red Hat Enterprise Linux, а также и для других свободно распространяемых дистрибутивов Linux. Так как ядро долгое время не претерпевало кардинальных изменений, взломщикам обычно не составляет большого труда разработать руткиты, которые будут распространяться.

Несмотря на то, что существуют сотни опасных для свободных систем руткитов, рассмотрим только некоторые наиболее часто встречающиеся экземпляры.

Начнем с упоминания руткита LRK, так как это один из самых старых и до сих пор активных руткитов (впервые он был обнаружен в 1997 году, но до сих пор встречается на уязвимых системах). Он имеет множество версий и известен тем, что подменяет известные исполняемые файлы, такие, как , , , , и.т.д.

Knark является руткитом, который очень сложно обнаружить, так как он полностью располагается в ядре. Это очень опасно, так как во время работы он скрывает открытые порты, файлы и процессы от администратора.

Beastkit является относительно новым вариантом руткита, разработанным для дистрибутивов Red Hat, а его опасная модификация с названием Illogic известна тем, что процесс, работающий на порту 901, позволяет взломщику при помощи telnet делать с системой практически все то, что способен делать администратор, имеющий физический доступ к системе.

Стоит упомянуть о руткитах, причинивших значительный ущерб Linux-системам: Sneakin, Kitko, Ajakit и Devil. Все эти руткиты используют сложные техники, такие, как определение ОС и модификация структур ядра в процессе работы, проброс портов для декодирования данных, запись событий от клавиатуры для похищения паролей и незаметная отправка их на адрес электронной почты взломщика, оптимизация действий для сокращения использования ресурсов системы, и.т.д. Эти руткиты также известны высокой скоростью распространения и превращением инфицированных машин в зомби для продолжения распространения.

Как отмечалось ранее, руткиты также дают возможность доступа к системе путем открытия портов, создания процессов уровня ядра, что позволяет злоумышленнику в полной мере удаленно контролировать систему, даже через Интернет.

Существует несколько дружественно настроенных руткитов, которые сотрудничают друг с другом. Если руткит во время внедрения в систему обнаруживает уже присутствующий в ней руткит, он обновляет его для улучшения работы. Известно несколько руткитов, которые работают как шлюзы для доставки вирусов и троянов в локальную сеть; сначала в систему внедряется руткит, резервирует место, устанавливает привилегии пользователя, получает контроль над файловой системой, отключает работающие антивирусные программы, открывает доступ для отправки вирусов и переходит в невидимый режим работы.

Новое поколение руткитов известно действиями по установке поддельных SSL-сертификатов и попытками расшифровки HTTP-трафика для получения информации о кредитных картах, которая обычно передается по зашифрованному каналу. Существуют руткиты, компрометирующие системы путем проведения с помощью них атак перехвата с участием человека в отношении других систем, что затрудняет расследование по поиску реального взломщика.

Разработка постоянно совершенствующейся системы безопасности инфраструктуры необходима для остановки распространения и предотвращения ущерба, причиняемого руткитами. Современные системы обнаружения проникновений (IDS) могут эффективно останавливать распространение руткитов на подходе к сетям. Старший IT-менеджмент должен быть проинформирован об этой серьезной опасности и предпринимать решительные шаги по защите подконтрольных сетей.

Средняя оценка 2 при 1 голосовавших

Чем руткиты отличаются от вирусов

Давайте кратко рассмотрим отличительные признаки обоих.

Вирус Руткит
Чаще всего выполняется как пользовательский процесс Чаще всего выполняется как часть ОС/ядра
Обычно получает доступ к системе с правами пользователя Получает доступ к системе с правами администратора/пользователя root
Не открывает путей для удаленного администрирования Открывает пути для удаленного администрирования — viz., порт, IP, и.т.д.
Не предоставляет возможностей для удаленного доступа Предоставляет возможность удаленного доступа для взломщика
Довольно просто обнаружить и удалить из системы Очень сложно обнаружить и удалить из системы
Предназначен для нарушения работы системы и повреждения данных Предназначен для похищения конфиденциальных данных

Как видно из таблицы, хотя некоторые черты вирусов/троянов и руткитов и схожи (в общем случае и те и другие могут либо вызывать потерю данных, либо захватывать и собирать конфиденциальные данные, такие, как имена пользователей, пароли, адреса электронной почты, и.т.д.), существуют и принципиальные различия между ними. Хотя вирус обычно и работает в «невидимом режиме», скрывая свое присутствие путем инфицирования исполняемых и системных файлов, он все равно работает как приложение — поэтому антивирусные программы способны обнаружить и удалить его. Троян, являющийся усовершенствованным вирусом, скрывается в системе более искусным образом.

Руткит, с другой стороны, заменяет собой часть операционной системы для сокрытия и получения максимально возможного контроля над системой. Поэтому он имеет возможность проводить мониторинг процессов, происходящих в системе, наряду с выполнением любых действий. Он также может использоваться для внедрения других руткитов и вирусов в систему. Руткиты позволяют удаленно управлять компьютером, обычно также используя его в качестве распространителя коммерческого спама.

Руткиты что это такое

Для того, чтобы понять вред, наносимый рукитом, следует знать, что можно сделать, владея компьютером удалённо.

Кто-то может сказать — подумаешь, рукит, у меня нет ничего ценного на компьютере, что с меня взять! И так думают многие, глубоко ошибаясь.

Хакеру не обязательно воровать что-либо лично у вас, а вот использовать вас и ваш компьютер в крупных махинациях — легко!.

То есть, хакер используя вас, и ещё десяток таких же ничего не подозревающих пользователей, может провернуть крупную аферу.

Например, ограбить банк или взломать сервер Пентагона. Естественно, что следы приведут к вам, а вычислить самого хакера — невозможно.

Так что не удивляйтесь, когда к вам нагрянет полиция или агенты ФБР. Доказывать что вы не при чём, придётся очень долго.

Заражение рукитом

Самая сложная задача, для хакера — заразить ваш компьютер. Хотя, в последнее время народ стал до того беспечный, надеясь на антивирусники, что скачивает на свой диск всё без разбора.

Например, вы скачиваете файл, допустим, ту же музыку. А вместе с этой музыкой, скачивается какой нибудь маленькая программка, с такой защитой, которая не даёт обнаружить хакера.

Часто заражение происходит через USB-носители, особенно, когда вы находите кем-то «потерянную» флешку.

Расположение вируса

Рукит прячется глубоко в недрах ОС Винды, он первоначально заточен под то, чтобы быть невидимым для любых программ типа Доктора Вебера и популярных антивирусников.

Руткиты содержат огромный набор шпионских инструментов. Например, таких как:

  • клавиатурный шпион,
  • вор сохраняемых паролей,
  • сканер данных банковских карточек,
  • дистанционно управляемые боты для осуществления DDoS-атак,
  • функция отключающая антивирусы и другие команды.

Руткиты, кроме перечисленного арсенала, располагают функцией бэкдора. Проще говоря, хакер дистанционно подключён к зараженному компьютеру.

Он может устанавливать или удалять дополнительные модули и делать с компьютером всё, что подскажет фантазия.

Несколько примеров актуальных сегодня руткитов для Windows:

  • TDSS,
  • Zero Access,
  • Alureon and Necurs и так далее.

Как узнать о заражении

Хочется сказать, что хакеры прилагают большие усилия к тому, чтобы долгое время оставаться незамеченными. Поэтому выявить заражение достаточно сложно.

Если у вас закралось подозрение, что компьютер заражён рукитами, то, в первую очередь следует обратить внимание на:

  • Непонятную активность приложений;
  • Зависания системы (это относится только к маломощным компьютерам);
  • Самопроизвольно отключается антивирус;
  • Большой расход ресурсов. А в диспетчере задач появился новый список запущенных программ и процессов.

Естественно, что всё это косвенные улики, не доказывающие напрямую наличия заражения. Они лишь позволяют предположить такую возможность.

Прямой уликой может стать поток СПАМа с вашего компьютера, друзьям и знакомым.

Как удалить рукит с компьютера

Как я уже говорил выше, рукиты здорово маскируются под полезные программы. Они прячутся слишком глубоко и найти их в ОС довольно проблематично. 100% надёжной защиты от них не существует.

Самый надёжный и быстрый способ избавиться от них — переустановить Винду. Этот способ хорош ещё и тем, что часто рукиты настолько сильно меняют системные файлы, что проблему можно устранить лишь удалив их полностью.

Однако, если вы по каким то причинам не желаете переустанавливать систему, то приготовьтесь к длительной, поэтапной проверке и чистке, разными видами утилит.

Так как одна программа не сможет выявить все повреждённые файлы.

Утилиты для чистки ОС

На сегодняшний день разработано достаточно много эффективных программ для борьбы с рукитами. Среди них много платных и бесплатных версий.

Остановимся на бесплатных программах, я назову лишь небольшую часть антирукитов:

  • Hypersight Rootkit Detector — Единственная программа определяющая руткит, работающий в режиме hypervisor.
  • Dr.Web CureIt! — Антируткит и не только.
  • GMER — один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.
  • Grisoft AVG Antirootkit — самый лучший анти-руткит. Как самостоятельный продукт его не поддерживают, ссылка перенаправляет на AVG Internet Security 8.0
  • RootKit Unhooker — очень результативная программа, но часто виснет.
  • AVZ — не специализированное средство, но антируткит — один из компонентов.
  • Catchme.
  • DarkSpy Anti-Rootkit.
  • Helios.
  • IceSword.
  • OSAM — не специализированное средство, но антируткит — один из компонентов.
  • RKDetector.
  • RootKit Hook Analyzer.
  • Rootkit Revealer.
  • Chkrootkit.
  • The Rootkit Hunter.

Кроме них удалить рукиты помогут — Windows Defender Offline, Kaspersky Rescue Disc, RootkitBuster, Anti-Rootkit, TDSSkiller, Bitdefender Rootkit Remover. Все программы простые и понятные, большинство русифицированы.

Обзор бесплатных программ для удаления руткитов

Существует много программ для борьбы с руткитами. Но, большинство из них предназначены для технически подкованных пользователей, которые хорошо знают особенности работы операционных систем. Такие программы вряд ли подойдут обычным пользователям. Однако, в данном классе программ есть и несколько вариантов, которые не потребуют от пользователей особых технических знаний, при этом они будут столь же эффективны.

Программа удаления руткитов Kaspersky TDSSKiller от одноименной компании

Одним из лучших решений можно назвать . Данная программа имеет достаточно простой и понятный интерфейс. Она достаточно быстро работает, и способна обнаружить достаточно большое число руткитов. 

 удалось обнаружить и удалить все известные современные руткиты (TDSS, Zeus, TDL4 и т.д.). Единственный ее недостаток — это то, что очень похоже, что программа распознает только небольшой диапазон руткитов. И хочется надеяться, что со временем количество распознаваемых типов будет только увеличиваться. Тогда можно будет смело сказать, что это решение, которое подойдет всем. 

Но, тем не менее, его положительные стороны все же перевешивают все негативные моменты, так как программа во всех тестах быстро и просто находила и удаляла руткиты. При этом так же немаловажным является то, что она нормально работает с 64-битными системами.

GMER и RootRepeal комплексный подход к поиску и удалению руткитов 

Есть пара хороших программ, которые будут очень полезными опытным пользователям. Это и RootRepeal (не поддерживает 64-битную ОС). Это очень популярные программы, но для их использования нужно хорошо понимать устройство операционных систем, чтобы можно было интерпретировать их результаты сканирования системы. У каждой из этих программ имеется достаточно хорошая документация по работе и использованию. Но, если вы относитесь к той категории пользователей, которые хотят нажать только одну кнопку, и через некоторое время получить надпись «Теперь все просто отлично», то тогда вам больше подойдет .

На самом деле сложно их порекомендовать обычным пользователям, ведь результаты для них могут показаться просто набором непонятных символов (результаты имеют чисто технических характер, т.е. полное отсутствие красивых фраз «Утилита все сама очистила», «Вам не о чем беспокоиться» и т.д.). Обычно действовать необходимо быстро, поэтому эти программы вы вспомните в последнюю очередь. Но, если все же вы каким-то образом поймали особо редкий и сложно очищаемый руткит, то они станут неоценимыми помощниками в борьбе за свой компьютер, ведь вам будет предоставлен огромный спектр полезной информации.

Программа удаления руткитов Avast Anti-Rootkit от известного производителя 

Интерфейс  напоминает окно командной строки, но не надо пугаться, ведь интерфейс очень простой и понятный в использовании. Эта программа может сканировать компьютер и MBR на наличие руткитов, а так же фиксировать ряд проблем. Обычным пользователям может быть немного не просто понять результаты работы программы, но тем не менее, программа свою задачу выполняет хорошо. Она так же хорошо нашла TDSS и ряд других современных руткитов, как и TDSS Killer. Но, были небольшие проблемы при их удалении. Зато у данной программы есть одна важная функциональность, без которой порой сложно обойтись при удалении руткитов. Это возможность выполнить FixMBR прямо из Windows. Обычно для этого нужно загрузиться с диска восстановления Windows или LiveCD. А в данной программе для этого надо всего лишь кликнуть на кнопке FixMBR. Именно поэтому такую программу стоит всегда держать при себе. 

Антивирусное средство Dr.Web CureIt! профилактика полезна

Следующий продукт, который входит в обзор — это . Его всегда стоит держать при себе. CureIt! не является полноценным инструментом для поиска и удаления руткитов, как другие программы, о которых шла речь ранее. Это скорее бесплатный сканер вредоносных программ, по сути, миниантивирус. Но, он достаточно эффективен при борьбе с рядом руткитов. Правда, гарантировать, что он сможет выловить все руткиты тоже нельзя. Его скорее стоит применять как дополнение к основному средству по борьбе с руткитами. Тем не менее, стоит отметить, что на время своего сканирования он создает достаточно безопасную среду исполнения. Тот факт, что он останавливает все процессы делает ему только плюс, так как вредоносные программы могут попытаться блокировать его работу. Он так же может производить глубокое сканирование вашего диска. Так же позволяет перезагрузиться в безопасный режим для поиска и удаления вредоносных программ.

Как удалить руткит программой Sophos Anti-Rootkit

Ну и напоследок давайте разберем еще одну утилиту, которая помогает избавиться от руткитов. Она пригодится вам в том случае, если первые два оказались нерабочими или вам пришлись не по душе.

Запускаем программу, в настройках сканирования оставляем все галочки и нажимаем кнопку «Start scan».

Поиск руткитов может продолжаться достаточно долго. В конце вы получите полный отчет по найденным проблемам в виде списка. Замечу, что здесь есть одна особенность. Когда вы выбираете найденный файл в списке после сканирования, в окне ниже появляется его описание. Если в строке «Removable» стоит значение «Yes (but clean up not recommended for this file)», то это файл удалять не рекомендуется, так как он является системным и его удаление может повлиять на работу всей операционной системы.

Все остальные записи, у которых нет указанной выше строки, вы можете смело выделить галочками и удалить с помощью кнопки «Clean up checked items». В моем примере я не стал дожидаться окончания сканирования и на скриншоте ниже показал процесс удаления лишь для примера.

Вот такие три способа можно использовать для удаления руткитов с вашего компьютера. Программы все очень легкие и не требуют каких-то особенных знаний. Выбирайте тот способ, который считаете самым удобным. Также, в некоторых антивирусах уже начали встраивать подобную защиту, поэтому при выборе антивирусного решения ориентируйтесь и на встроенную защиту от руткитов.

Статья будет посвящена программе под названием AdwCleaner. Совместима она со всеми версиями операционной системы Windows и позволяет очистить ваш компьютер от таких зараз как рекламные объявления, потенциально опасные программы, разнообразные рекламные тулбары и замены домашней страницы браузера.

компьютерная безопасностьполный список

RkUnhooker

Tuluka.Kernel.Inspector.1.0.394.77.zip (2,893,650 bytes)

Странное поведение операционной системы на моём домашнем компьютере в последние дни, заставило меня задуматься о её проверке на наличие руткит (Rootkit), то есть таких вредоносных программ, которые успешно могут скрывать от пользователя своё присутствие в системе.

Почему я сразу подумал о руткитах? А потому, что полная проверка системы на вирусы бесплатным антивирусом (не буду конкретизировать каким), который успешно боролся с ними на протяжении всего года, никаких результатов не дала.

Якобы и вирусов никаких нет и компьютер продолжает работать неправильно! Уверен почти на все 100%, что в инфицировании системы активно принимали участие мои дети, которым очень нравятся онлайн-игры и нажать какую-нибудь лишнюю кнопку на сайтах с играми для них не проблема.

А как известно, rootkit в первую очередь попадает на компьютер пользователя, используя уязвимости браузеров или плагинов. Поиск утилиты для борьбы с руткитами я начал, конечно же, на сайте Лаборатории Касперского и на нём свой поиск закончил, так как необходимый инструмент под названием «TDSSKiller» был найден сразу.

Особенности антируткит утилиты «Kaspersky TDSSKiller»
:

  • эффективное обнаружение и удаление всего семейства известных руткитов и буткитов;
  • бесплатная, имеет графический интерфейс и небольшой размер;
  • поддерживает 32-х и 64-х рязрядные ОС Windows, включая и Windows 10;
  • умеет работать в безопасном режиме и т.д.

Теперь с её помощью приступим к поиску rootkit в системе. Переходим на сайт:

Https://support.kaspersky.ru/viruses/disinfection/5350

Сохраняем файл на компьютер.

Обновление Rkhunter для борьбы с руткитами в Linux

Первое, что надо сделать после установки утилиты — это обновить ее и удостовериться, что у нас актуальная версия (актуальная версия на сегодня — 1.4.2):

И второе, — раз мы обновили базу, значит изменился конфигурационный файл утилиты (конфигурационный файл расположен в /etc/rkhunter.conf) и нам нужно сказать (показать) программе, что эти изменения внесены в файл конфигурации, вот для этого нужно сделать снимок (слепок, называйте как вам больше нравится) командой:
Это в Ваших же интересах, чтобы утилита меньше ложно срабатывала.

Вы можете сами посмотреть насколько хэши исполняемых системных файлов отличаются или не отличаются от известных значений, содержащимися в базе данных. По другому это называется — проверка корректности сигнатур для всех установленных в системе пакетов.

Проверяется это так:

Для дистрибутивов на базе RPM командой:

Для debian-но подобных дистрибутивов программой debsums. По умолчанию эта программа не установлена в системе, ее надо установить:

Какая бы система у вас не была установлена вывод будет примерно одинаковый:

(если везде написано «ОК», значит никаких изменений с файлами не происходило).

Ну мы немного отвлеклись. После установки выполним поиск руткитов (правда тут есть большая вероятность, что мы этих руткитов просто не найдем, по причине того, что их просто не будет в вашей системе)

Тестирование будет проходить в несколько этапов с выводом сообщений по каждому пункту теста. Вы просто нажимаете Enter для продолжения.

И в конце выведется общий список — информация по тестированию.

Если вы визуально не хотите наблюдать за ходом тестирования, то можно запустить rkhunter с ключом -rwo, в этом случае будут выводиться только предупреждения:

Утилита выдала несколько предупреждений, что такие то процессы в данный момент работают. Под процессами подразумеваются открытые программы, которые работают в фоновом режиме. В тот момент у меня были открыты текстовый редактор, запущен антивирус, работал скайп и pidgin, был открыт терминал, и были открыты еще несколько приложений. На все эти процессы и среагировал rkhunter.

Так что же такое руткиты?

Вышеприведенные пограничные случаи наводят на мысль, что нет никаких зловредных «руткитов», а есть лишь некие техники – техники обхода системных механизмов защиты и техники сокрытия в системе. Как и любая мощная технология, они могут быть использованы как во вред, так и во благо. В частности, обычный подход проактивных антируткитов – бороться с руткитами их же оружием (перехват системных функций и т.д.).

Любая из таких техник в большей или меньшей степени вписывается в понятие «руткит», которое каждый сам определяет для себя, так или иначе опираясь на мнение большинства либо на точку зрения авторитетного меньшинства специалистов. Для чего нужно это определение? Для того чтобы не попасть в ловушку слов, когда речь идет о таких пограничных случаях, как упомянутое выше скандальное обнаружение «руткитов» в коммерческих продуктах. Вместо того чтобы делать поспешные выводы, испугавшись страшного слова «руткит», стоит разобраться, как именно реализован механизм, объявленный кем-то компрометирующим, и какие именно угрозы он в себе таит в действительности. Весьма показателен в этом смысле «скандальный руткит», обнаруженный в продукте Kaspersky Antivirus 7.0. Используемая в продукте техника, которую сочли компрометирующей, – размещение служебной информации в «стримах» файловой системы, т. е. в таких ее участках, которые недоступны при прямом наблюдении. Есть ли в этой технике обход системных механизмов? Нет; «стримы» – это документированная функция операционной системы. Скрывается ли вредоносная активность? Нет; скрывается только служебная небинарная информация. Является ли эта техника уязвимостью – иными словами, может ли злоумышленник воспользоваться ею в своих целях? Нет, он может воспользоваться лишь самими «стримами» для сокрытия кода вируса (что действительно реализовано в некоторых вредоносных программах) – но это уже уязвимость ОС, а не коммерческого продукта. Так и где же здесь руткит?

Ситуация с Sony DRM немного другая. Используемая в защите техника действительно являлась уязвимостью в том смысле, что позволяла злоумышленнику назвать свои вредоносные программы определенным образом, вследствие чего они автоматически становились невидимыми. И вредоносные программы, эксплуатирующие эту уязвимость, действительно существуют – правда, появились они уже после того, как информация об этой уязвимости была опубликована в Интернете.

Временная линейка руткит-событий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector