Добро пожаловать! Зарегистрируйтесь бесплатно или Авторизируйтесь

Главная › Интернет › RootKit – практика выявления и лечения

ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031  

Search

Оглавление
Автомобиль
Велосипед
Дача=Дом+Сад
Интернет
Компьютеры и гаджеты
Цифровая фотография

Инструменты/Tools

Курсы валют к рублю РФ

DOF Calculator
Калькулятор ГРИП
Depth of Field Calculator

Полезные таблицы
Useful tables

Таблица элегантности

Калькулятор ГРИП (DOF Calculator)

Официальные праздники РОССИИ

Меры длины, астрономической длины, площади, объёма, времени, скорости, массы, давления, мощности

Товарные штрих-коды разных стран

Обозначения на одежде и белье

Пляжный отдых на Чёрном море, описаны Анапа, Архипо-Осиповка, Бетта, Геленджик, Джанхот, Дивноморское, Кабардинка, Криница, Новороссийск, Прасковеевка, Тамань

 RootKit – практика выявления и лечения

RootKit

Вот как характеризует RootKit Олег Зайцев, разработчик Антивирусной утилиты AVZ:

Цитата
«Термин RootKit исторически пришел из мира Unix, и под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор, как правило, включает в себя разнообразные утилиты для заметания следов вторжения в систему, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. RootKit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.

В системе NT/W2K/XP RootKit принято считать программу, которая внедряется в систему и перехватывает системные функции (API). Перехват и модификация низкоуровневых API функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, RootKit может маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие RootKit устанавливают в систему свои драйверы и сервисы (они естественно также являются "невидимыми").
Самостоятельно обнаружить запущенный RootKit крайне сложно - он не виден в стандартном диспетчере процессов, его ключи реестра не отображаются в редакторе реестра Regedit, файлы невидны в Explorer и других программах просмотра диска»
Конец цитаты

Удивительное дело. Компьютер снизил скорость работы с беспроводным 3G модемом и это заметили неискушённые пользователи.

Заметили. Но не сразу. Примерно через полгода! Когда главная страничка любимого сайта объёмом 30-40 килобайт стала загружаться от 40 минут до нескольких часов!

Решили было, что это сайт не отдаёт страницу на большой скорости. Проверили на других сайтах – скорость не выросла.

Первым пал в немилость модем! Решили – сдох. И… купили новый у того же оператора! Первое время «всё летало». А потом…. Потом скорость вновь упала. Тогда стало понятно, что ничего не ясно.

Диагностика неисправности компьютера

Первым делом начали проверять беспроводной 3G модем. Тот оказался вполне исправным и работоспособным. Правда, исходящий трафик практически равнялся входящему!

Следующий этап – проверка уровня сигнала в месте установки компьютера. С сигналом тоже всё хорошо. Кстати скорость цифровой передачи данных практически не зависит от уровня сигнала, скорее зависит от уровня помех.

Предварительный вывод: беспроводной 3G модем, провайдеры и оператор сети скорость не режут. Тогда кто или что?

Проверка компьютера

Проверка компьютера началась как обычно. С просмотра того что, как и зачем грузится при запуске системы.

Для справки: компьютер практически «пустой» и используется для путешествий по сети Интернет и для общения по электронной почте с использованием on-line сервисов. Жёсткий диск небольшого объёма занят системой, а большая часть жёсткого диска пустая. Пользователи не создали ни одной папки! Беспроводной 3G модем встал туда, куда его установили «по умолчанию».

Именно эта чудесная пустота позволила заметить в АВТОЗАГРУЗКЕ новый элемент. И этот новый элемент обладал удивительным свойством: при попытке его отключить (а он стоял в списке первым), происходило дописывание его в конец списка автозагрузки. При этом он включал сам себя.

При попытке воспользоваться вариантам ВЫБОРОЧНЫЙ ЗАПУСК со снятой галкой Загружать элементы автозагрузки автоматически происходило игнорирование команды и галка устанавливалась вновь.

Начались проверки компьютера самыми разными антивирусами. Проверка происходила достаточно быстро, благо компьютер «пустой».

Сразу можно сказать, что из всех доступных на тот момент антивирусных программ заметила «непорядок» только одна.

Это была Антивирусная утилита AVZ. В ходе диагностики выяснилось, что это RootKit.

Лечение компьютера

Лечение компьютера или вернее лечение системы началось с попытки определить месторасположение вредоносного кода.

Хитрый вредоносный код был представлен в системе как системный и скрытый, он не разрешал отменять автозагрузку и вообще вёл себя плохо!

Более того, как выяснилось впоследствии, этот вредоносный код имел резервную копию с другим именем!

Тем не менее, утилита AVZ позволила найти упоминание об этом RootKit в реестре, а в дальнейшем и на диске.

Кстати, вредоносный код «портил» файл ntdll.dll, который находится в папке C:\WINDOWS\system32. Антивирусная утилита AVZ в ходе Эвристического анализа выявила такое поведение вредоносного кода и сообщила об этом в Протоколе.

После удаления вредоносного кода из системы, с диска и из реестра была проведена тщательная проверка системы при помощи антивирусной утилиты AVZ. Для проверки устанавливался Максимальный уровень эвристики/Расширенный анализ. Никаких отклонений от нормального хода проверки замечено не было.

В результате лечения восстановилось быстродействие системы, в нормальном режиме и с нормальной скоростью (анонсированной оператором сети) заработал беспроводной 3G модем.

В ходе лечения компьютера выяснилось, что неподготовленные пользователи, скорее всего не смогут понять, что с их системой «что-то не так», поэтому вредоносный код будет какое-то время беспрепятственно работать на этих компьютерах.

С другой стороны порадовало то, что антивирусная утилита AVZ позволяет выявить, определить, локализовать и удалить из системы вредоносный код.

© 2012 abcIBC.com. All rights reserved.

До встречи в Сети!

См.также

Оглавление раздела Интернет

Страны мира и доменные зоны
Доменные зоны разных стран
Популярность операционных систем в 2011
Популярность браузеров в 2011
Популярность браузеров MSIE в 2011
Стандартные размеры баннеров
Дополнительные виды и размеры баннеров
Вирусы. Первое знакомство
Вирусы. Профилактика ч.1
Вирусы. Профилактика ч.2
Вирусы. Профилактика ч.3
Вирусы. Профилактика ч.4
Вирусы и другие Вредоносные программы

 

Популярность браузеров в 2012
Это не вирус, это вентилятор процессора
2012 – Safari лидирует
RootKit – практика выявления и лечения
Самые популярные браузеры в 2012
Как можно попасть в Интернет?
Что такое web-сайт?
Зачем нужны web-сайты
Классификация web-сайтов
Подключение компьютера к Internet
3G и LTE в ноутбуках и планшетах
Скорости G, E, 3G, H, H+, 4G LTE