Ще нещодавно зловмисники писали лише віруси, які захисні програми виловлювали та знешкоджували без особливих проблем. Достатньо було встановити та правильно налаштувати антивірусну систему, регулярно оновлювати її базу... І жити спокійно.

Сьогодні інтернет-зловмисники діють значно масштабніше! Їх уже не спокушає «лише» зараження сотень тисяч комп'ютерів і навіть пандемія нового вірусу. Вони прагнуть отримати контроль над безліччю ПК та використовувати їх для своїх темних справ. З мільйонів заражених систем створюють величезні мережі, керовані через Інтернет. Використовуючи гігантську обчислювальну продуктивність «зомбі-мереж», можна, наприклад, проводити масові розсилки спаму та організовувати атаки хакерів небаченої раніше потужності. Як допоміжний інструмент для таких цілей дуже часто використовують новий, особливо небезпечний тип шкідливих програм. руткіти

Що таке руткіти?

Руткіти не тільки ховаються самі, а й приховують інше шкідливе програмне забезпечення, що проникло в систему. Ціль маскування - непомітно для антивірусів та інших захисних програм захопити чужий комп'ютер. У таких руткітів, як Hacker Defender, у запасі дуже витончені трюки. Цей замаскований шкідник в обхід брандмауера відкриває таємні лазівки в Інтернет, які дозволяють хакерам керувати зараженим комп'ютером. Через створений руткітами "чорний хід" можна отримувати конфіденційні дані (наприклад, паролі) або впроваджувати в систему інші шкідливі програми. Руткітів поки що небагато. Але, на жаль, для них (як і для вірусів) створені «конструктори», використовуючи які навіть малодосвідчені хулігани можуть створювати «замаскованих шкідників» (див. врізку на стор. ??) і використовувати їх на свій розсуд. Більшість антивірусних програм розпізнає такий шкідливий «софт», поки він не активний (скажімо, «дрімне» у вигляді документа, прикріпленого до електронного листа). Але варто подвійним клацанням відкрити файл, що здається невинним, і руткіт активується і «забереться» в потаємні глибини системи. Після цього знайти та знешкодити його зможуть лише спеціальні програми. ComputerBild протестував 8 програм, завданням яких є розпізнавання та видалення руткітів. Усі учасники тестування присутні на DVD, що додається до цього номеру журналу.

Хитрощі руткітів

Руткіт пробирається до комп'ютера, щоб використовувати його в кримінальних цілях. Він може бути прикріплений до електронного листа, наприклад, у вигляді рахунку у форматі PDF. Якщо ви клацнете на уявний рахунок, шкідник-невидимка активується.

Потім руткіт забирається глибоко в операційну систему Windows і змінює один із файлів бібліотек - *.dll. І послідовність команд, яка керує правильною роботою програм, підпадає під контроль шкідника.

« Захоплення владиРуткітом залишається непоміченим, і він спокійно завантажує з Інтернету інший шкідливий «софт». Нові шкідники маскуються за допомогою руткіту. Тепер комп'ютер може бути використаний для різних шахрайських дій, наприклад, для розсилки спаму.

Як маскуються руткіти?

Антивірусні програми зазвичай розпізнають шкідливий "софт" за сигнатурами - характерними ланцюжками коду в тілі вірусу. Це свого роду «особливі прикмети», якими можна впізнати і знищити «шкідника». Виробники захисних програм регулярно розміщують в Інтернеті оновлення із останніми виявленими сигнатурами. Крім того, антивіруси впізнають «шкідників» за деякими особливостями їхньої поведінки – цей спосіб отримав назву «евристичний аналіз». Якщо, наприклад, програма збирається видалити всі MP3-файли, збережені на жорсткому диску, швидше за все, це вірус, роботу якого потрібно блокувати, а його - знищити.

Щоб обдурити антивірусні програми, руткіти маніпулюють процесами, за допомогою яких комп'ютерні програми обмінюються даними. З цих потоків вони видаляють відомості про себе та інших шкідників. Антивірус отримує неправдиву інформацію та вважає, що «в Багдаді все спокійно»

Деякі руткіти (так звані «руткіти режиму користувача») перехоплюють потоки даних між програмами (наприклад, між Windows та антивірусом) та маніпулюють ними на власний розсуд.

Інші руткіти (їх називають «руткитами режиму ядра») «сидять» глибше, між окремими компонентами Windows або навіть у системному реєстрі, і звідти посилають антивірусу неправдиві дані

Як поширюються руткіти?

• Іноді руткіти надходять у поштові вкладення, маскуючись під документи різних форматів (наприклад, PDF). Насправді такий «уявний документ» є файлом, що виконується. Той, хто спробує його відкрити, активує руткіт.
• Ще один шлях поширення - сайти, що зазнали хакерської маніпуляції. Користувач, що нічого не знає, просто відкриває веб-сторінку - і руткіт потрапляє в його комп'ютер. Це стає можливим через «дір» у системі безпеки браузерів.

«Самодельні» руткіти

Тисячі комп'ютерів, заражених руткітами, утворюють величезні «зомбі-мережі», які використовуються для розсилки спаму в обхід користувачів, які нічого не підозрюють. Досі вважалося, що такі махінації доступні лише досвідченим програмістам-професіоналам. Проте вже найближчим часом ситуація може змінитися. В Інтернеті все частіше зустрічаються так звані Toolkits (набори інструментів) для виготовлення прихованих шкідників, наприклад досить популярний Pinch. За допомогою цього "софту" навіть недосвідчений користувач може створити "шкідника-невидимку"... Основою для нього послужить Pinch Builder Trojan, який за допомогою програмного інтерфейсу Pinch можна оснастити різноманітними шкідливими функціями. Згідно з інформацією, опублікованою на сайті виробника антивірусів Panda Software, Pinch Builder Trojan може:

• красти паролі браузерів, зокрема Mozilla та Opera, та пересилати їх інтернет-шахраям; завдяки доступу до спеціальних областей Windows він також вміє вивідувати паролі Internet Explorer та Outlook;
• зчитувати дані, що вводяться з клавіатури (зокрема, паролі), та передавати їх до Інтернету;
• приховувати свої шкідливі функції – програма майстерно захищає "троянські" процеси від виявлення антивірусним "софтом".

Андреас Маркс, експерт антивірусної лабораторії AV-Test, яка регулярно проводить випробування на замовлення ComputerBild, підтверджує: «Набори для створення троянів вже продаються на спеціальних веб-сайтах за кілька сотень євро. Якщо по Інтернету пошириться широка хвиля таких саморобних шкідників, руткіти стануть справжнім лихом для користувачів».

Як позбутися руткітів?

Встановіть програму Gmer, яка перемогла у нашому тесті. Вона впевнено виявляє руткіти та прихованих «шкідників» інших типів, а також здатна видалити більшість із них. Руткіти, що залишилися, можна «доконати» за допомогою утиліти AVG Anti-Rootkit. Після видалення шкідників слід перевірити систему звичайним антивірусом, наприклад з пакета програм Kaspersky Internet Security.

Узагальнення результатів тестування

Наш тест 8 антирукітів показав, що проти хитрих замаскованих шкідників є надійний засіб. Правда, щоб позбутися непроханих гостей, вам доведеться відправити на пошуки руткітів відразу кілька мисливців.

Розпізнавання руткітів

У ході тестування з'ясувалося, що далеко не всім «мисливцям за руткітами» вивести на чисту воду замаскованих «шкідників». Виявити всі активні руткіти змогли лише три програми: переможець тесту Gmer 1.0, AVG Anti-Rootkit та Rootkit Unhooker. Той, хто користується цими додатками, може бути впевнений, що його комп'ютер не зазнає нашестя «шкідників-невидимок». Крім того, Gmer виявилася єдиною програмою, якою вдалося знайти всі руткіти в альтернативних потоках даних.

Вилучення руткітів

Не краще було з видаленням шкідливого «софту». Gmer хоч і знайшла всі руткіти, спромоглася знищити лише 63% з них, а також 87% інших небезпечних програм, що маскувалися «за компанію». Шкідникам, які ховалися в альтернативних потоках даних, пощастило набагато менше: на жорстких дисках тестових комп'ютерів не залишилося жодного з них. Це й принесло програмі перемогу. Натомість у другого призера частка віддалених активних руткітів була вищою майже на чверть (86,67%). У тому малоймовірному випадку, коли переможець тесту Gmer не зможе вилучити з жорсткого диска всіх шкідників, AVG Anti-Rootkit доведе роботу до кінця.

Занадто складне управління

Те, що виявлення прихованого шкідливого «софту» - справа серйозна, помітно за складністю управління програмами. Інтерфейс усіх додатків, що брали участь у тесті, англомовний, а незрозумілі повідомлення здатні збити з пантелику навіть досвідченого користувача.

Підсумок

На нашу радість, переможець тесту - Gmer 1.0- і другий призер, AVG Anti-Rootkit, виявили всі 30 руткітів, які «заховалися» на тестових комп'ютерах, і справно повідомляли про інші приховані небезпеки. Gmer, крім того, розпізнала всіх "замаскованих шкідників", які ховалися в альтернативних потоках даних (саме це і принесло їй перемогу в загальному заліку). І Gmer, і AVG Anti-Rootkitвидаляють більшу частину знайдених «шкідників», але не всіх... Домогтися максимального ефекту дозволяє одночасне використання цих двох програм. Всі інші антирукіти отримали оцінку «погано».

Агресивний розвиток руткітівдосі залишається безкарним і продовжується так само активно, не зустрічаючи жодного суттєвого опору з боку захисних технологій, більшість з яких добре працює лише на словах та ловить загальнодоступні руткіти, взяті з rootkits.com чи аналогічних ресурсів. Руткіти, написані «на замовлення», виявляються значно гірше, якщо взагалі виявляються. Причому навіть такі сучасні технології детекції, як
віддалене сканування портів, виявляються безсилими перед новітніми версіями руткітів, які реально паляться лише руками, хвостом та головою.

Мищъх постійно тримає увімкненим honeypot на базі VMware, що засмоктує купу малварі. Її аналіз вказує на неухильне зростання кількості руткітів, що мешкають виключно в пам'яті і не записують себе на диск, в результаті чого у них відпадає необхідність приховування файлів і гілок реєстру, які прямо або опосередковано відповідають за автозавантаження. Вони не створюють нових процесів, вважаючи за краще впроваджуватися в адресний простір вже існуючих. Вони не відкривають нових портів, перехоплюючи вхідний трафік за допомогою сирих сокетів або впроваджуючись у мережні драйвери (наприклад, TCPIP.SYS або NDIS.SYS).

В результаті ні в реєстрі, ні у файловій системі не відбувається жодних змін, а отже, нічого ховати не доводиться! Звичайно, перезавантаження вбиває руткіти такого типу наповал, і тому багато адміністраторів вважають, що ніякої небезпеки немає. Не так вже й складно перезавантажити сервер при виникненні підозр на його компрометацію. Однак саме
встановлення факту компрометації є першочерговим і найскладнішим завданнямстоїть перед адміністратором. Якщо сервер дійсно був скомпрометований, необхідно з'ясувати, як саме він був скомпрометований! В іншому випадку повторні атаки не забаряться, не кажучи вже про те, що після видалення
потрібно як
мінімум змінити паролі на всі ресурси, інакше хакер зможе обійтися і без руткіту, використовуючи раніше перехоплені паси.

Власне кажучи, при всій різниці NT і Linux/BSD техніка пошуку руткітів одна і та ж. Насамперед нам необхідно отримати дамп ядра або запустити ядерний наладчик. Теоретично руткіти можуть перехоплювати будь-які операції, у тому числі спробу збереження дампа. У NT для цього їм достатньо перехопити NativeAPI-функцію KeBugCheckEx і, перш ніж повернути їй управління, вичистити всі сліди свого перебування в оперативній пам'яті. Технічно продати це нескладно. Знадобиться не більше кількох сотень рядків асемблерного коду, але… мені не відомий жоден руткіт, що реально робить це. Також можна обхитрити і ядерний наладчик. Встановлюємо всім хакнутим сторінкам атрибут тільки на
виконання (якщо ЦП підтримує біт NX/XD) або ставимо сторінку в NO_ACCESS, а при виникненні виключення дивимося, чи намагаються нас прочитати чи виконати. І якщо нас читають, то це явно налагоджувач, для обману якого тимчасово знімаємо перехоплення. Але це лише теорія. На практиці вона ще ніким не реалізована, і коли буде реалізована – невідомо.

На жаль, абсолютно надійних способів детекції руткітів не існує, і на будь-яку міру є свій контрзахід. Але не будемо теоретизувати, повернемося до реально існуючих руткітів, а точніше, до одержання дампи пам'яті. У NT в «Властивості системи» ( ) необхідно вибрати "Повний дамп", потім запустити "Редактор реєстру", відкрити гілку HKLM\System\CurrentControlSet\Services\i8042prt\Parameters і встановити параметр CrashOnCtrlScroll (типу REG_DWORD) в будь-яке ненульове значення, після чого натисніть з наступним подвійним натисканням Викликає блакитний екран із кодом E2h (MANUALLY_INITIATED_CRASH). На жаль, щоб зміни реєстру набули чинності, необхідно перезавантажити машину,
прибивши при цьому руткіт, який ми намагаємося знайти, тож цю операцію слід здійснювати заздалегідь.

До речі, послідовність спрацьовує, навіть якщо машина пішла у нірвану і вже не реагує на . Причому, на відміну від RESET, комбінація виконує скидання дискових буферів, що зменшує ризик втрати даних, тому CrashOnCtrlScroll варто налаштувати і в тому випадку, коли ми не збираємося полювати руткіти.

У тих випадках, коли CrashOnCtrlScroll не налаштований, а перезавантаження не прийнятна, можна взяти будь-який драйвер з NTDDK і вставити на початок DriverEntry якусь неприпустиму операцію: розподіл на нуль, звернення до пам'яті за нульовим покажчиком і т.д. Тоді при завантаженні драйвера негайно спалахне блакитний екран, а на диск буде скинутий повний дамп пам'яті ядра з усім малварью, що міститься в ньому.

У Linux ручне скидання дампаздійснюється при натисканні (при цьому ядро ​​має бути відкомпільовано з параметром CONFIG_MAGIC_SYSRQ, рівним «yes», або має бути виконана команда «echo 1 > /proc/sys/kernel/sysrq»).

У xBSD-системахкомбінація (До речі кажучи, змінена в деяких розкладках клавіатури) викликає спливання ядерного наладчика (аналог для SoftICE в NT), який, на жаль, за умовчанням не входить у ядро, і тому його необхідно попередньо перекомпілювати, додавши рядки "options DDB" та "options BREAK_TO_DEBUGGER" у файл конфігурації ядра. Якщо ж остання опція не позначена (про неї часто забувають), то в налагоджувач можна увійти з консолі командою "sysctl debug.enter_debugger=ddb".

Отриманий дамп ядра можна аналізувати будь-якою зручною утилітою, благо недоліку в них відчувати не доводиться. Наприклад, у NT для цієї мети зазвичай використовується
WinDbg, але мищъх воліє досліджувати систему наживо за допомогою SoftICE, найближчим аналогом якого у світі Linux є
LinICE.

Значить, натискаємо ми (SoftICE), (LinICE) або (xBSD) і опиняємось у ядрі. Далі пишемо «u ім'я_функції» і послідовно перебираємо імена всіх функцій (ну чи не всіх, а найспокусливіших для перехоплення), список яких під NT можна отримати командою dumpbin.exe ntoskrnl.exe /export > output.txt (де dumpbin. exe – утиліта, що входить до складу Microsoft Visual Studio та Platform SDK). А під Linux/xBSD це завдання можна вирішити, вивчивши символьну інформацію несжатого і нестрипнутого ядра.

На початку нормальних, неперехоплених функцій повинен бути стандартний пролог виду «PUSH EBP/MOV EBP, ESP» або типу того. Якщо ж туди встромлять JMP або CALL, то з ймовірністю, близькою до одиниці, ця функція перехоплена кимось. А ось ким це питання. Крім руткітів перехопленням займаються антивіруси, брандмауери та інші програми, тому, перш ніж вирушати на пошук малварі, необхідно добре вивчити особливості своєї системи з усіма встановленими програмами.

Просунуті руткіти впроваджують JMP/CALL над початок функції, а її середину, ніж викликати підозр. Насправді, проаналізувавши код хакнутої функції, легко переконатися у його ненормальності. Лівий JMP/CALL просто не вписується в алгоритм! Проте, щоб дійти такого висновку, необхідно як знати асемблер, а й мати досвід дизассемблирования. На щастя, просунуті руткіти зустрічаються досить рідко, і переважна більшість із них впроваджується на самий початок.

Переглянувши всі функції та переконавшись у відсутності слідів явного перехоплення, приступаємо до вивчення таблиці системних функцій, що під SoftICE викликається командою NTCALL, а під Lin-Ice – командою D sys_call_table. Оскільки функції, перелічені в таблиці, не експортуються ядром NT, то відсутність символьної інформації (яку можна отримати з сервера Microsoft за допомогою утиліти SymbolRetriver від NuMega) SoftICE відображає ім'я найближчої експортованої функції плюс зміщення. А тому ми не можемо швидко сказати: перехоплено цю функцію чи ні, і нам доведеться набирати команду «u адреса_функції», щоб подивитися, що там знаходиться: нормальний, неперехоплений пролог або JMP/CALL. У
ніксах інформація про символи присутня за умовчанням і подібних проблем не виникає.

Звичайно, крім описаних існують і інші методики перехоплення, які використовуються руткітами, проте вони досить складні для розуміння і вимагають попередньої підготовки, а тому тут не розглядаються.

Здрастуйте адмін, до вас запитання: Як видалити руткіти? Підозрюю, що в мене в операційній системі завелися такі звірята. Місяць тому встановив Windows з усіма програмами і працював весь цей час без антивірусу, вибирав, який встановити, платний або безкоштовний. Коротше два місяці обходився тим, що періодично сканував систему безкоштовними антивірусними утилітами і, а тепер не можу їх запустити, виходять помилки при запуску. Мало того, тепер не встановлюється, комп'ютер зависає на половині установки та виходить критична помилка, далі синій екран. А вчора провайдер взагалі відключив мені інтернет, сказав, що мій комп'ютер розсилає спам. Ось такі справи!

На форумах кажуть, що якщо в системі знаходиться руткіт, то таку гидоту може зробити він. Йому потрібно приховати діяльність певної шкідливої ​​програми, яку відразу виявить антивірусний сканер чи встановлений антивірус. Якою програмою можна видалити руткіт або простіше перевстановити Windows?

В інтернеті радять багато чого, незрозуміло, що й вибрати. Наприклад, зняти жорсткий диск, підключити до іншого комп'ютера і просканувати його хорошим антивірусом, але у мене тільки один комп'ютер (ноутбук). Ще радять перевірити систему утилітою RootkitRevealer, але вона не працює з Windows 7.

Як видалити руткіти

Друзі, в першій частині статті ми дізнаємося, що таке руткіти і яку шкоду вони можуть завдати нашій операційній системі. У другій частині ми з вами видалимо руткитиза допомогою антивірусного диска від Microsoft – Windows Defender Offline та диска Kaspersky Rescue Disk від «Лабораторії Касперського». Наприкінці статті, ми видалимо руткіти за допомогою спеціально створених для цього безкоштовних антивірусних утиліт: TDSSKiller, Dr.Web, AVZ і GMER.

• Друзі, відкрию Вам секрет, в даний час з руткітами йде справжня війна, просто це не афішується і якщо вам пощастить впіймати серйозний і тільки що написаний руткіт, впоратися з ним буде дуже нелегко навіть професіоналу. Тому не забувайте створювати і не відключайте ніколи. Встановлюйте лише 64-розрядні Windows 7 або Windows 8, оскільки в 64-бітній операційній системі руткіту складніше закріпитися.

Що являє собою руткіт? Руткіт - це програма, що маскує перебування в операційній системі інших шкідливих програм і все, що відноситься до них (процеси, ключі в реєстрі і так далі), відбувається шляхом перехоплення і модифікації низькорівневих API-функцій. Ну а шкідлива програма, що працює в нашій системі, може зробити багато поганих справ, наприклад ваш комп'ютер стане частиною «ботнета» -комп'ютерної мережі, що складається з великої кількості заражених комп'ютерів. Зловмисники можуть використовувати ресурси заражених комп'ютерів на свій розсуд (розсилати спам, брати участь у DDoS-атаці на певні сайти і так далі). Це, швидше за все, і сталося з комп'ютером нашого читача.

Як видалити руткіти за допомогою антивірусного дискаНа мою думку, дуже гарна зброя від руткітів, та й узагалі від усіх вірусів, це антивірусний диск. В першу чергу можна використовувати антивірусний диск від Microsoft.

він спеціально заточений для пошуку та видалення руткітів та практично всіх існуючих шкідливих програм. Ще б я порадив антивірусний диск від «Лабораторії Касперського».

Справа в тому, що коли ви завантажуєте ваш комп'ютер з антивірусного диска і перевіряєте їм заражену систему, шкідливі програми ніяк не можуть цьому перешкодити, тому що Windows в цей час перебуває в неробочому стані і відповідно всі вірусні файли, що знаходяться в системі, видно як на долоні, а отже, легше виявляються і нейтралізуються.

Як завантажити дані антивірусні диски у вигляді образу, пропалити на болванку, завантажити з них комп'ютер і видалити руткіти, ви можете прочитати в наших покрокових статтях, посилання наведені вище. Як видалити руткіти за допомогою безкоштовних антивірусних утилітДуже ефективні у боротьбі з руткітами кілька безкоштовних антивірусних утиліт: TDSSKiller, Dr.Web, AVZ та GMER. Перша утиліта, що розглядається нами, це TDSSKiller від «Лабораторії Касперського», друга Dr.Web CureIt і третя AVZ теж від російських розробників антивірусних програм, четверта GMER.
Щоб скачати TDSSKiller, йдемо за посиланням http://support.kaspersky.ru/5350?el=88446#, тиснемо «Як вилікувати заражену систему», натискаємо « Завантажте файл TDSSKiller.exe»

Запускаємо його, можете оновити програму.

Розпочати перевірку.

TDSSKiller виявляє наведені нижче підозрілі сервіси або файли:
Прихований сервіс – прихований ключ у реєстрі;
Заблокований сервіс – недоступний ключ у реєстрі;
Прихований файл – прихований файл на диску;
Заблокований файл – файл на диску неможливо відкрити звичайним способом;
Підмінений файл - під час читання виходить підмінний вміст файла;

Rootkit.Win32.BackBoot.gen – можливо заражений завантажувальний запис MBR.

Якщо у вас встановлена ​​програма Daemon tools, після закінчення сканування програма видасть таке вікно - Підозрювальний об'єкт, середня небезпека – Сервіс: sptd.

Сервіс: sptd є сервісом програми – емулятора дисководу Daemon tools.
Щоб точно переконатися, що виявлений файл не є руткітом або навпаки, скопіюйте виявлені підозрілі об'єкти в карантин, вибравши дію Скопіювати до карантину, файл не видаляється з системи.
Знайти карантин можна тут C:\TDSSKiller_Quarantine
Потім відкриваємо сайт VirusTotal.com, далі тиснемо Виберіть файл, відкриється провідник

Ідемо до карантину та вибираємо файл для перевірки. Відкрити та Перевірити.

Як бачимо, лише одна антивірусна компанія визначила файл sptd.sys як вірус PAK_Generic.009.

Значить, швидше за все, даний файл вірусом не є і ми з вами це чудово знаємо. В інших, більш спірних випадках ви можете знайти інформацію в інтернеті або відправити файли в Вірусну Лабораторію Касперського. Як видалити руткіти за допомогою утиліти Dr.Web CureItУтиліту Dr.Web CureIt завантажуємо за цим посиланням http://www.freedrweb.com/cureit/, просуваємося вниз сторінки і тиснемо Скачайте безкоштовно.

Завантажити Dr.Web CureIt із функцією відправки статистики.

Зазначаємо пункт "Я приймаю умови Ліцензійної Угоди" та тиснемо Продовжити.

Зберігаємо та запускаємо файл Dr.Web CureIt. Виникає вікно «Запустити Dr.Web CureIt у режимі посиленого захисту, натискаємо "Скасувати". У вікні відзначаємо пункт «Я згоден взяти участь… Продовжити.

Вибрати об'єкти для перевірки.

Зазначаємо пункти Оперативна пам'ятьі Руткіти і тиснемо Запустити перевірку.

Якщо руткити виявлені не будуть, раджу вам відзначити всі пункти і перевірити ваш комп'ютер на віруси, зайвим це не буде.

Як видалити руткіти за допомогою утиліти AVZХороша та дуже швидко працююча антивірусна утиліта від Олега Зайцева, швидко знайде та видалить різні SpyWare та руткіти у вашій операційній системі. Але попереджаю Вас, програма працює жорстко і іноді може прийняти за вірус нешкідливий файл, тому перед застосуванням AVZ створіть . Якщо AVZ знайде шкідливий файл, не поспішайте видаляти його і прочитайте всі рекомендації з розділу Поради щодо лікування ПК http://z-oleg.com/secur/advice/
Переходимо за посиланням http://z-oleg.com/secur/avz/download.php, натискаємо Завантажити (8.4 Мб, бази від 30.01.2013).

Завантажуємо архів програми та розархівуємо його. Після розархівації заходимо в папку з програмою та запускаємо файл avz.exe.

Відзначаємо для перевірки диск із операційною системою, зазвичай C:, ще відзначаємо пункт Виконати лікування, далі йдемо в Параметри пошуку

та відзначаємо пункт Детектувати перехоплювачі API та RooTkitі натискаємо Пуск, перевірка почалася.

Як видалити руткіти за допомогою утиліти GMERУтиліта GMER застосовується багатьма користувачами для боротьби з руткітами, утиліта англійською, але ми з вами розберемося. Також ґрунтуючись на особистому досвіді роботи з програмою, раджу вам перед роботою створити точку відновлення або зробити бекап усієї операційної системи, якщо GMER виявить серйозну небезпеку, може викликати вогонь по своїх або застосувати тактику випаленої землі.
Ідемо на сайт http://www.gmer.net/, натискаємо Download.EXE

І завантажуємо утиліту, якщо хочете, можете завантажити її в архіві або ZIP archive: gmer.zip (369kB). Не дивуйтеся, що при завантаженні утиліти назва у неї буде відмінною від GMER, наприклад p3f14z2c.exe, робиться це спеціально, тому що руткіти, що знаходяться у вашій системі, можуть розпізнати утиліту і вам не вдасться її запустити.
Отже, завантажили GMER і запускаємо її. Відразу після запуску утиліти ваша операційна система зависне на 5-10 секунд, відбувається швидке сканування основних системних файлів та процесів.
Відзначаємо для сканування диск C: і натискаємо Scan , почнеться сканування Windows щодо знаходження руткітів. Якщо запустити GMER за умовчанням у режимі Quick Scan (швидке сканування), відбудеться сканування основних системних файлів на диску з операційною системою, в першу чергу можете скористатися ним.

Коли сканування закінчиться, програма видасть вам результат, якщо руткити будуть знайдені, вони будуть позначені червоним шрифтом. Якщо ви захочете видалити який-небудь файл, клацніть на ньому правою мишею і виберіть потрібну дію в меню.

Отже, продовжимо розглядати програми, які можуть допомогти нам позбавитися руткітів на наших ПК. Попередню частину статті можна.

Sophos Anti-Rootkit

Це досить компактний додаток для боротьби з руткітами, що має простий і зрозумілий інтерфейс (те, чого не вистачає «професійним» утилітам). Утиліта сканує реєстр та критичні, на думку розробників, каталоги системи, виявляючи приховані об'єкти. Sophos Anti-Rootkit потребує встановлення в систему. На відміну від більшості інших програм із подібними функціями ця програма попереджає користувача про можливість впливу на продуктивність та працездатність ОС у разі видалення того чи іншого конкретного руткіту.

Під час запуску програма запропонує нам вибрати, що саме скануватиметься. Відверто кажучи, краще все сканувати. Виняток навіть одного пункту (системний реєстр, запущені процеси та локальні диски) залишить лазівку для руткітів, що окопалися в системі. Після сканування з виявлених Sophos Anti-Rootkit об'єктів (туди стабільно потрапляють модулі Symantec Antivirus, Kaspersky Antivirus, драйвери віртуальних CD-ROM тощо) потрібно вибрати ті, які ви вирішили видалити, погодившись з тим, що вони дуже підозрілі.

Для полегшення ухвалення рішення програма навіть дає описи знайдених об'єктів із низкою рекомендацій. Для того щоб прочитати його, потрібно виділити знайдений об'єкт.

Крім того, додаток дає повний шлях до об'єкта та низку додаткової інформації в його описі. Можна вивчити знайдений об'єкт, подивитися відомості про нього в інтернеті і лише потім ухвалити виважене рішення. Після вибору залишається тільки натиснути на кнопку «Clean up checked items».

RootRepeal

Ця програма чомусь досить рідко використовують і описують. Тим часом, RootRepeal дуже гарний та ефективний інструмент, що дозволяє виявляти безліч варіантів руткітів.

Ця програма портативна, хоча і не така наочна, як Sophos Anti-Rootkit, проте при додатку мінімальних зусиль з боку користувача здатна надати величезну допомогу у виявленні шкідливого ПЗ. Однак вона не вказує користувачеві автоматично, що саме в цьому місці сидить руткіт, а надає інформацію (запущені процеси, файли, приховані процеси, хуки, інформація про ядро ​​системи і т.п.), яку користувачеві доведеться проаналізувати і оцінити самому.

Після аналізу та виявлення підозрілих процесів можна знайти в інтернеті їх описи і, при необхідності, скористатися інструментарієм RootRepeal для стирання файлів, завершення процесів або редагування ключів реєстру.

AVZ

Останньою я залишив добре знайому багатьом утиліту AVZ – антивірус Зайцева. Це інструмент з величезною кількістю функцій, який, серед іншого, може допомогти в боротьбі з руткітами. AVZ не потребує встановлення (портативна). Оновлюється вона досить регулярно.

Для виконання сканування і виявлення руткитів, що причаїлися в надрах системи, потрібно вибрати потрібний диск або директорії в «Області пошуку». AVZ чудово розпізнає руткіти, які можна видалити автоматично або може приймати рішення в кожному окремому випадку. (Примітка редактора: можна задати в налаштуваннях програми варіанти дій AVZ у тих чи інших випадках).

Пошук руткітів відбувається в AVZ на підставі дослідження базових системних бібліотек щодо перехоплення їх функцій, тобто без використання сигнатур. Що цінно в цьому додатку, воно може робити коректне блокування роботи ряду можливих протидій з боку руткітів. Тому сканер утиліти може виявляти замасковані процеси та ключі реєстру.

Зрозуміло, можливі і хибні спрацьовування. Тому уважно дивіться, що ви стираєте за допомогою AVZ. За допомогою AVZ можливе також відновлення низки системних функцій після атаки вірусів та руткітів. Це також дуже корисно.

Підбиваємо підсумки

Ми розглянули ряд програм, які допоможуть виявити руткіти на комп'ютерах та ноутбуках. Слід зазначити, що більшість комерційних та й безкоштовних антивірусів обзавелися вже досить потужними блоками виявлення та видалення руткітів. Більше того, в найближчій перспективі я прогнозую значне зниження інтересу звичайних користувачів до антируткітних рішень, оскільки відповідні модулі антивірусних рішень будуть покращуватися, а середньому користувачу зовсім немає інтересу самому копатися в процесах, драйверах і файлах. Йому цікавий швидкий та бажано без зайвих зусиль результат. Поки традиційні антивірусні програми далеко не еталон у пошуку руткітів, для таких користувачів я б рекомендував Sophos Anti-Rootkit. А ось для складних випадків все одно доведеться використовувати GMER чи AVZ та підвищувати кваліфікацію. Ці інструменти ще не скоро остаточно зійдуть зі сцени.

Виявлення. На жаль, більшість сучасних антивірусів ніяк не відреагують на появу руткіту, тому що його основна мета приховати себе самого та всього, що з ним пов'язано. Руткіта також є майже всі так звані засоби захисту від копіювання, а також програми-емулятори CD-і DVD-приводів. Для виявлення та видалення руткітів потрібне встановлення спеціальних програм.

2 крок

Утиліта Sophos Anti-Rootkit. Це не велика програма для пошуку та знищення руткітів, яка працює у всіх версіях Windows, починаючи з XP. Завантажити програму можна з офіційного сайту. Робота з програмою дуже проста, потрібно вибрати об'єкти для сканування та натиснути на кнопку Start scan. Після сканування виділіть знайдені об'єкти та натисніть Clean up checked items, щоб видалити їх.

3 крок

Програма Rootkit Buster. Це ще один безкоштовний засіб знищення руткітів. Встановлення програми не потрібне, потрібно розпакувати архів та запустити файл rootkit buster.exe. Завантажити можна звідси. Для початку сканування натисніть кнопку Scan Now. Утиліта просканує всі файли, гілки реєстру, драйвери та MBR . У разі знаходження руткітів програма видасть їх список, виділіть об'єкти та натисніть Delete Selected Items.

4 крок

Ознаки зараження. Отже, як дізнатися чи заражений ваш комп'ютер руткітами? Більшість ознак схожі на ознаки вірусу, тобто відправлення даних без ваших команд, зависання, несанкціонований запуск чогось і т.д. Однак з вірусами в цьому плані простіше, на відміну від руткітів, віруси детектуються антивірусами. Якщо з'явилися симптоми вірусів, а антивірус нічого не знаходить, тоді велика ймовірність зараження руткітом. Встановіть фаєрвол (брандмауер), якщо він вас сповіщатиме про спробу виходу будь-яких програм в інтернет (нікому, крім браузера та антивірусу, там робити нічого), заблокуйте їх.

• Поновлюйте антивірус та ОС вчасно.
• Встановіть брандмауер, наприклад COMODO.
• Підключайте до ПК лише перевірені флешки.
• Під час сканування антируткітом, на якийсь час вимкніть антивірус, фаєрвол та інтернет.
• Чи не пускайте сторонніх за свій ПК!