Останнім часом ми спостерігаємо жахливу картину: незважаючи на постійно оновлювані антивіруси, комп'ютери користувачів все більше і більше поглинають шкідливі програми. І не останню роль в цьому волаюче неподобство грають руткіти. У тому, що це за звірі і як з ними боротися ми спробуємо розібратися в нашій сьогоднішній статті.
Досить типова ситуація: комп'ютер поводиться якось не так. В автозавантаженні чисто, процеси в порядку, антивірус нічого не знаходить, проте вас не покидає думка, що система нездорова. У кращому випадку ви побачите присутність вірусів на власні очі, в гіршому - навіть не помітите, як з вашого ПК розсилають спам, крадуть паролі, атакують сайти або роблять інші, не особливо приємні будь-якому користувачеві, речі.
Хто допомагає вірусам ховатися на вашому комп'ютері? У деяких випадках це шкідливі програми особливого роду - руткіти. Не будемо особливо мудрувати і звернемося до Вікіпедії для роз'яснення даного терміну.
Отже, руткит (rootkit) - це програма (набір програм) для приховування слідів присутності зловмисника або шкідливої коди в операційній системі. Встановивши руткит на ваш комп'ютер, хакер отримує над ним повний контроль, може дистанційно керувати комп'ютером і завантажувати на нього інші шкідливі програми. Природно, все це він робить не вручну під покровом ночі, а користуючись різними командами, утилітами і т.п.
Більш того, основне завдання руткита - не допустити виявлення даних дій господарем комп'ютера, приховати від користувача присутність хакера і змін в системі. Руткіт ховає від ваших очей шкідливі процеси, системні служби, драйвера, мережеві з'єднання, ключі реєстру і записи автозавантаження, модулі, папки, файли і, звичайно ж, ховає сам себе. Загалом, ситуація не з приємних, і ваш комп'ютер вже зовсім вам не належить.
Сам термін «руткіт» бере свій початок з операційних систем сімейства Unix. Саме для них були написані руткіти, які хакери встановлювали на комп'ютери відразу після отримання прав суперкористувача (root-a, звідси і назва rootkit). Уточню, що привілейований в Unix - це те ж саме, що Адміністратор в Windows. Руткіти були необхідні, оскільки всі дії в Unix системах, як і в сучасному Linux, виконувалися від імені звичайного користувача, який не має прав на будь-яке критичне зміна стану системи. Таким чином, руткит дозволяв зловмиснику повністю заволодіти ОС і повноправно панувати над системою.
Порівняно недавно, в кінці минулого століття, з'явилися руткіти і під операційну систему Windows. Оскільки на той момент жоден антивірус їх не упізнавав, перед руткитами відкривалася приваблива перспектива. Однак незабаром вони були виявлені і потихеньку великі антивірусні компанії і виробники систем захисту почали додавати функціонал по виявленню руткітів в свої рішення.
На сьогоднішній день існує безліч антивірусів і спеціалізованих програм, що дозволяють виявити і нейтралізувати руткіти. Інформацію про те, чи вміє ваш антивірус відловлювати і знешкоджувати руткіти, ви завжди можете знайти на офіційному сайті його розробників.
Невелика утиліта, яка вміє боротися з руткитами, яка працює, як на Windows XP, так і на Vista. Sophos Anti-Rootkit сканує реєстр і критичні каталоги системи і виявляє приховані об'єкти, чи то пак руткітів.
Програма звичним чином встановлюється на комп'ютер і володіє інтуїтивно зрозумілим інтерфейсом. Перш за все, вам необхідно задати об'єкти, які повинна виявити утиліта.
Після сканування слід виділити виявлені об'єкти (попередньо уважно їх вивчивши!) І натиснути кнопочку «Clean up checked items» для їх видалення.
В описі знайдених об'єктів програма запропонує вам свої рекомендації на рахунок їх видалення. Для цього слід виділити знайдений об'єкт. Так, запис в рядку Removable «Yes (but clean up is not recommended for this file)» означає, що Sophos Anti-Rootkit без праці зможе видалити цей об'єкт, але його видалення не рекомендується, тому що це дружня програма або модуль, який не приносить ніякої шкоди системі. Такі об'єкти можна сміливо пропускати. Якщо ж ви все-таки вирішите їх видалити, Sophos Anti-Rootkit попередить про можливі проблеми з операційною системою. Варто ще раз подумати і ... натиснути кнопку «Скасування».
Крім того, Sophos Anti-Rootkit в описі кожного об'єкта покаже повний шлях до нього і додаткову інформацію. Але утиліта може цього і не зробити. Найрозумніше в цьому випадку - відкрити папку з файлом або гілку реєстру і уважно вивчити знайдений Sophos Anti-Rootkit об'єкт з усіх боків: подивитися його властивості, пошукати інформацію про нього в інтернеті і т.п.
Для того щоб почати сканування просто розпакуйте архів і запустіть файл Rootkit Buster.exe, потім у вікні утиліти натисніть кнопку «Scan Now». При цьому Rootkit Buster перевірить завантажувальний запис MBR і приховані файли, реєстр, процеси і драйвера.
Якщо ви досить добре знаєте свій комп'ютер, то можете відзначити останній пункт «File Streams» ( «Файлові потоки»), але попереджаю відразу, що в цьому випадку програма обов'язково щось та знайде і в основному це нешкідливі об'єкти. Проте, серед них можуть попастися і шкідливі, тому важливо відрізняти «овець від вовків». По завершенні сканування ви побачите список знайдених об'єктів. Будь-який з них можна виділити і видалити натисканням кнопки «Delete Selected Items». У моєму випадку програма нічого не знайшла, що дуже порадувало.
Для того щоб почати сканування комп'ютера на предмет руткітів і іншої зарази виберіть потрібний диск або папку (папки) в Області пошуку.
Отже, ми розглянули спеціалізовані утиліти, які дозволяють боротися з руткитами. У висновку хочемо попередити, що навіть використання зазначених програм не гарантує повного захисту, як втім, і використання будь-яких інших антивірусних програм. Слід визнати, що убезпечити комп'ютер від вірусів ми не в силах, тому варто частіше вдаватися до резервного копіювання даних, не встановлювати на свій комп'ютер що попало, а також про всяк випадок мати в ящику столу інсталяційний диск з Windows, щоб в будь-який час можна було перевстановити операційну систему. Одним з варіантів назавжди забути про віруси є установка на комп'ютер ОС Linux хоча б другий системою і хоча б для роботи в інтернеті, але це вже інша історія.