RootKit – практика выявления и лечения
RootKit
Вот как характеризует RootKit Олег Зайцев, разработчик Антивирусной утилиты AVZ:
Цитата
«Термин RootKit исторически пришел из мира Unix, и под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор, как правило, включает в себя разнообразные утилиты для заметания следов вторжения в систему, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. RootKit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.
В системе NT/W2K/XP RootKit принято считать программу, которая внедряется в систему и перехватывает системные функции (API). Перехват и модификация низкоуровневых API функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, RootKit может маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие RootKit устанавливают в систему свои драйверы и сервисы (они естественно также являются "невидимыми").
Самостоятельно обнаружить запущенный RootKit крайне сложно - он не виден в стандартном диспетчере процессов, его ключи реестра не отображаются в редакторе реестра Regedit, файлы невидны в Explorer и других программах просмотра диска»
Конец цитаты
Удивительное дело. Компьютер снизил скорость работы с беспроводным 3G модемом и это заметили неискушённые пользователи.
Заметили. Но не сразу. Примерно через полгода! Когда главная страничка любимого сайта объёмом 30-40 килобайт стала загружаться от 40 минут до нескольких часов!
Решили было, что это сайт не отдаёт страницу на большой скорости. Проверили на других сайтах – скорость не выросла.
Первым пал в немилость модем! Решили – сдох. И… купили новый у того же оператора! Первое время «всё летало». А потом…. Потом скорость вновь упала. Тогда стало понятно, что ничего не ясно.
Диагностика неисправности компьютера
Первым делом начали проверять беспроводной 3G модем. Тот оказался вполне исправным и работоспособным. Правда, исходящий трафик практически равнялся входящему!
Следующий этап – проверка уровня сигнала в месте установки компьютера. С сигналом тоже всё хорошо. Кстати скорость цифровой передачи данных практически не зависит от уровня сигнала, скорее зависит от уровня помех.
Предварительный вывод: беспроводной 3G модем, провайдеры и оператор сети скорость не режут. Тогда кто или что?
Проверка компьютера
Проверка компьютера началась как обычно. С просмотра того что, как и зачем грузится при запуске системы.
Для справки: компьютер практически «пустой» и используется для путешествий по сети Интернет и для общения по электронной почте с использованием on-line сервисов. Жёсткий диск небольшого объёма занят системой, а большая часть жёсткого диска пустая. Пользователи не создали ни одной папки! Беспроводной 3G модем встал туда, куда его установили «по умолчанию».
Именно эта чудесная пустота позволила заметить в АВТОЗАГРУЗКЕ новый элемент. И этот новый элемент обладал удивительным свойством: при попытке его отключить (а он стоял в списке первым), происходило дописывание его в конец списка автозагрузки. При этом он включал сам себя.
При попытке воспользоваться вариантам ВЫБОРОЧНЫЙ ЗАПУСК со снятой галкой Загружать элементы автозагрузки автоматически происходило игнорирование команды и галка устанавливалась вновь.
Начались проверки компьютера самыми разными антивирусами. Проверка происходила достаточно быстро, благо компьютер «пустой».
Сразу можно сказать, что из всех доступных на тот момент антивирусных программ заметила «непорядок» только одна.
Это была Антивирусная утилита AVZ. В ходе диагностики выяснилось, что это RootKit.
Лечение компьютера
Лечение компьютера или вернее лечение системы началось с попытки определить месторасположение вредоносного кода.
Хитрый вредоносный код был представлен в системе как системный и скрытый, он не разрешал отменять автозагрузку и вообще вёл себя плохо!
Более того, как выяснилось впоследствии, этот вредоносный код имел резервную копию с другим именем!
Тем не менее, утилита AVZ позволила найти упоминание об этом RootKit в реестре, а в дальнейшем и на диске.
Кстати, вредоносный код «портил» файл ntdll.dll, который находится в папке C:\WINDOWS\system32. Антивирусная утилита AVZ в ходе Эвристического анализа выявила такое поведение вредоносного кода и сообщила об этом в Протоколе.
После удаления вредоносного кода из системы, с диска и из реестра была проведена тщательная проверка системы при помощи антивирусной утилиты AVZ. Для проверки устанавливался Максимальный уровень эвристики/Расширенный анализ. Никаких отклонений от нормального хода проверки замечено не было.
В результате лечения восстановилось быстродействие системы, в нормальном режиме и с нормальной скоростью (анонсированной оператором сети) заработал беспроводной 3G модем.
В ходе лечения компьютера выяснилось, что неподготовленные пользователи, скорее всего не смогут понять, что с их системой «что-то не так», поэтому вредоносный код будет какое-то время беспрепятственно работать на этих компьютерах.
С другой стороны порадовало то, что антивирусная утилита AVZ позволяет выявить, определить, локализовать и удалить из системы вредоносный код.
© 2012 abcIBC.com. All rights reserved.До встречи в Сети!
См.также