Какие виды руткитов существуют?

Руткиты можно классифицировать в соответствии со следующими характеристиками:

ü постоянство существования;

ü способ выполнения руткита.

Постоянный руткит активируется при каждом запуске системы. Для этого ему необходимо хранить свой код внутри компьютера, а также нужен способ для автоматического самозапуска. Непостоянный руткит не способен автоматически перезапускаться после перезагрузки системы.

Руткит может выполняться;

ü в режиме пользователя;

ü в режиме ядра.

В режиме пользователя: руткит перехватывает системные запросы и фильтрует информацию, возвращаемую API (Application Programming Interface). Наиболее известный руткит, принадлежащий к данному виду, это Hacker Defender.

В режиме ядра операционной системы руткиты модифицируют структуру данных ядра и перехватывают API ядра. Это наиболее надежный и действенный способ перехвата системы.

В марте 2006 года был разработан руткит, основанный на виртуальной технологии. Его основная функция заключалась в модификации пусковой последовательности компьютера, за счет чего руткит загружался вместо операционной системы. Далее руткит сам загружал операционную систему, как будто это была виртуальная машина, за счет чего перехватывалась вся информация, которой обменивались ОС и аппаратное обеспечение. После установки этот руткит обнаружить практически невозможно.

Как мне защитить себя от руткитов?

Война против руткитов – это настоящая вооруженная борьба, в рамках которой создатели руткитов разрабатывают новые способы для того, чтобы оставаться незамеченными, а антивирусные компании предпринимают ответные меры для того, чтобы защитить своих клиентов.

Для обнаружения руткитов в системе можно использовать следующие технологии:

1) Сигнатурное обнаружение – действенная технология, которая успешно применяется антивирусными компаниями уже на протяжении многих лет. Данная технология основана на сканировании файлов и их сравнении с коллекцией сигнатур известного вредоносного ПО

2) Эвристическое или поведенческое обнаружение – идентифицирует руткиты путем распознавания любых отклонений в нормальной деятельности компьютера.

3) Обнаружение по сравнению – результаты, возвращенные операционной системой, сравниваются с результатами, полученными посредством низкоуровневых запросов; наличие каких-либо различий свидетельствует о присутствии в системе руткита.

4) Обнаружение на основе целостности – определяет наличие руткита путем сравнения файлов и памяти с надежным тестовым статусом.

Каждая из перечисленных технологий имеет свои ограничения, поэтому рекомендуется сочетать различные технологии. Также необходимо учесть, что некоторые их этих руткитов специально разработаны для того, чтобы не быть обнаруженными лидирующими на рынке антивирусными компаниями.

Первая линия защиты от руткитов состоит в том, чтобы не дать им проникнуть в Ваш компьютер. Для этого, пожалуйста, всегда держите в уме следующие советы для защиты от вредоносного ПО:

ü установите на компьютере хорошее антивредоносное решение и следите, чтобы оно всегда было обновлено и активно;

ü установите файервол, который будет защищать Ваш компьютер от несанкционированного доступа;

ü всегда следите за тем, чтобы установленные на Вашем компьютере приложения были обновлены, а также применяйте все доступные патчи, выпускаемые производителями.

Однако, защита компьютера от руткитов – это непростая задача, и здесь нельзя ограничиваться рядом мер для общей защиты ПК.

Для того, чтобы помочь пользователям обнаружить существование руткитов в компьютерах и удалить их, Panda Security выпустила утилиту Panda Anti-Rootkit. Используйте эту бесплатную утилиту для обнаружения и удаления всех возможных руткитов в Вашем компьютере.

ЧервИ

Червь (сетевой червь) – тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных систем, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, осуществлению иного вредоносного воздействия.

Черви различаются по:

ü способам распространения;

ü способам запуска копий червя на заражаемом компьютере;

ü методам внедрения в систему;

ü возможностям полиморфизма;

ü использованием стелс-методов;

ü прочими характеристиками, присущими вирусам и троянским программам.

Виды червей

Основной характеристикой червя является способ распространения. В зависимости от путей проникновения в операционную систему выделяют следующие виды червей.

1) Почтовые черви (Mail-Worm) – черви, распространяющиеся в формате сообщений электронной почты. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором – при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков – активизируется код червя.

2) IM черви (IM-Worm) – черви, использующие Интернет-пейджеры. Известные компьютерные черви данного типа используют единственный способ распространения – рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо Web-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

3) P2P черви (P2P-Worm) – черви, распространяющееся при помощи пиринговых (peer-to-peer) файлообменных сетей. Механизм работы большинства подобных червей достаточно прост – для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P сеть берет на себя – при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно – при этом червь предлагает для скачивания свою копию.

4) Черви в IRC-каналах (IRC-Worm). У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ – отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

5) Прочие сетевые черви (Net-Worm) – Интернет-черви и LAN-черви. Интернет-черви используют для распространения протоколы Интернет. Преимущественно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов TCP/IP. LAN-черви распространяются по протоколам локальных сетей

ТроянЫ

Троян (троянский конь, троянская программа, троянец) – тип вредоносных программ, основной целью которых является вредоносное воздействие на компьютерную систему. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Особенности

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети). Трояны отличаются отсутствием механизма создания собственных копий.

Некоторые трояны способны к автономному преодолению защиты компьютерной системы, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Большинство троянских программ предназначено для сбора конфиденциальной информации. Их задача, чаще всего, состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке. К таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т. д. Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние.

Виды троянских программ

Наиболее распространены следующие виды троянов.

1) Клавиатурные шпионы (Trojan-SPY) - трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию

2) Похитители паролей (Trojan-PSW) – трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.

3) Утилиты удаленного управления (Backdoor) – трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления – Back Orifice.

4) Анонимные smtp-сервера и прокси (Trojan-Proxy) – трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.

5) Модификаторы настроек браузера (Trojan-Cliker) – трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, для организации несанкционированных обращений к Интернет-ресурсам.

6) Инсталляторы прочих вредоносных программ (Trojan-Dropper) – трояны, представляющие возможность злоумышленнику производить скрытую установку других программ.

7) Загрузчики вредоносных программ (Trojan Downloader) – трояны, предназначенные для загрузки на компьютер-жертву новых версий вредоносных программ, или рекламных систем.

8) Уведомители об успешной атаке (Trojan-Notifier) – трояны данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере.

9) "Бомбы" в архивах (ARCBomb) – трояны, представляющие собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные – зависание или существенное замедление работы компьютера, заполнение диска большим количеством "пустых" данных.

10) Логические бомбы – чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных.

11) Утилиты дозвона – сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в Интернет через платные почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой крупные счета за пользование Интернетом.