Eset mac rootkit detector что это

Обновлено: 06.07.2024

Инструментальные средства обнаружения rootkit-утилит

Несмотря на то что на рынке появляются все новые и новые продукты, которые делают более простым для специалистов по сетевой безопасности обнаружение rootkit-утилит на скомпрометированных машинах, выявление самих таких машин и удаление названных вредоносных программ остается исключительно сложным делом. На таких машинах злоумышленники по-прежнему имеют явное превосходство. Чтобы замаскироваться на скомпрометированной машине и ускользнуть от обнаружения, вредоносная программа включает в себя полнофункциональную rootkit-утилиту или rootkit-подобные возможности. Согласно результатам исследований компании McAfee, частота применения взломщиками технологий сокрытия вредоносного ПО с 2004 г. увеличилась аж на 600%; растет и число используемых специализированных rootkit-утилит, с трудом обнаруживаемых (а то и вовсе не обнаруживаемых) с помощью сигнатур.

Сообщество менеджеров сетевой безопасности откликнулось на вышеперечисленные разработки созданием автономных инструментальных средств поиска root-kit-утилит, с помощью которых их можно найти, анализируя данные низкого уровня, такие, как исходная информация файловой системы. Кроме того, некоторые производители добавляют улучшенные возможности обнаружения root-kit-утилит в свое ПО безопасности. Инструментальные средства anti-rootkit обычно выполняют одну из двух нижепоименованных задач: обнаруживают и блокируют root-kit-утилиты до того, как они скомпрометируют ПК, или пытаются найти и удалить их уже после проникновения в ОС.

Что касается предупреждения инфицирования систем rootkit-утилитами, то производители продуктов безопасности рекомендуют использовать комплекс методов, включающий сигнатуры, эвристики, анализ поведения и обычное блокирование программных компонентов взлома. Если же машина все-таки скомпрометирована, то лучше всего задействовать автономный детектор rootkit-утилит для зондирования инфицированного хоста.

В то же время и сами rootkit-утилиты продолжают совершенствоваться. Например, авторы их программируют так, чтобы они не изменяли системную информацию, препятствуя, таким образом, работе средств обнаружения. Кроме того, авторы rootkit-утилит применяют и новые методы, такие, как сокрытие файлов с помощью альтернативных потоков данных (Alternate Data Streams — ADS), которые являются особенностью файловой системы NTFS, облегчающей ее совместимость с другими файловыми системами.

Отыскиваем “корень зла”

Программы типа rootkit берут свое начало в ОС Unix, в которой учетная запись root предоставляет административный доступ ко всем функциям и возможностям системы. Основное назначение rootkit-программ — замаскировать присутствие злоумышленника и его вредоносных инструментальных средств на машине. Хотя существуют rootkit-утилиты для ОС Unix и всех ее разновидностей, большинство программ типа rootkit (и anti-rootkit) предназначены для Windows — в силу ее повсеместного распространения.

Rootkit-утилиты для Windows можно разделить на две группы: работающие в режиме пользователя (user-mode rootkit), или пользовательские, и в режиме ядра (kernel-mode rootkit). Пользовательские rootkit-утилиты функционируют как индивидуальные приложения либо модифицируют существующие программы. Работающие же на уровне ядра ОС rootkit-утилиты часто загружаются как драйверы устройств. Оба типа rootkit-утилит маскируются, перехватывая и изменяя системную статусную информацию, запрашиваемую приложениями.

Первая программа rootkit для Windows — NTRootkit появилась в 2001 г. и была разработана исследователем в области сетевой безопасности Грегом Хогландом с целью проверки одной из выдвинутых им концепций. С тех пор появились и другие, более эффективные версии rootkit-утилит для Windows, включая такие общедоступные, как FU и HackerDefender. Все больше злоумышленников покупают сегодня заранее укомплектованные инструментальные средства взлома операционных систем.

Исследователи из Мичиганского университета и компании Microsoft недавно рассказали о создании принципиально нового ПО rootkit, в основе которого лежит концепция виртуальной машины; оно получило название SubVirt. Утилита SubVirt инсталлирует на скомпрометированную систему Windows монитор виртуальной машины, загружает Windows в виртуальную среду и работает; исполняемое в виртуальной среде штатное ПО безопасности ее не выявляет.

Средства обнаружения rootkit-утилит

Предотвратить проникновение rootkit-программы в компьютер позволяют разнообразные продукты безопасности, включая антивирусы, противошпионское ПО и системы предотвращения вторжений уровня хоста (Host Intrusion Prevention System — HIPS). Главную роль в предотвращении атак rootkit-программ все же играет стандартный сигнатурный метод, реализуемый антивирусными и противошпионскими программами. Подавляющее большинство вредоносных программ используют исполняемые файлы или фрагменты кодов известных rootkit-утилит, а значит, сигнатуры и эвристические методы позволяют находить разновидности известных rootkit-утилит до того, как они заразят жесткий диск.

ПО HIPS тоже может обнаруживать rootkit-утилиты. Последние часто включаются в состав полезной нагрузки программных компонентов взлома, и если HIPS остановит загрузку трафика, то rootkit-утилита инсталлирована не будет. Дополнительную информацию по средствам HIPS можно найти в статье Дона Маквитти “Проблемы предотвращения вторжений на хосты” (см.: Сети и системы связи. 2007. № 3. С. 102).

Недавно выпущенная версия ПО McAfee VirusScan 8.5 включает в себя антивирусный сканер уровня ядра, позволяющий сканировать пользовательскую память и память, выделенную под исполнение ядра, на предмет выявления известных rootkit-утилит.

Компания Microsoft также включила в 64-разрядную версию своей ОС Windows функцию безопасности Kernel Patch Protection, или Patch Guard. Она осуществляет мониторинг ядра и обнаруживает попытки перехвата и изменения кода ядра другим кодом. Специалисты Microsoft утверждают, что эта функция поможет защищать ОС как от вредоносного, так и от легитимного, но способного дестабилизировать работу ОС программного обеспечения. Когда настоящая статья сдавалась в печать, инженеры Microsoft проводили встречи со сторонними производителями ПО безопасности, на которых рассматривался вопрос о создании интерфейсов API для взаимодействия их продуктов с Patch Guard.

Искоренить проблему!

Производители средств безопасности создают все новые и новые способы обнаружения rootkit-утилит на скомпрометированных машинах. Многие автономные инструментальные средства имеют в своей основе метод дифференциального обнаружения путем перекрестного сравнения двух образов системы (cross-view differential detection). Он основан на том факте, что rootkit-утилита так или иначе манипулирует системными реестрами, вызовами и интерфейсами API.

Используя интерфейсы API, эти механизмы сканируют подозреваемые в инфицировании rootkit-утилитами системные компоненты, включая файлы, ключи реестра и процессы. В результате мы получаем “образ зараженной системы” (tainted view). Затем выполняется второе сканирование (генерирующее доверенный образ системы — trusted view) без запуска интерфейсов API путем анализа структур данных низкого уровня, таких, как исходный контент файловой системы или улей реестра, которыми rootkit-утилита не манипулирует. После этого сравниваются оба результата сканирования, на основании чего выявляются места, в которых системная информация, возможно, была изменена.

К автономным инструментальным средствам обнаружения путем перекрестного сравнения относятся Blacklight компании F-Secure и Rootkit Revealer компании SysInternals. Компания F-Secure включает Blacklight в свой пакет безопасности для частных пользователей и планирует включить его в следующую версию корпоративного пакета безопасности F-Secure Anti-Virus Client Security. Компания Symantec тоже разработала новое инструментальное средство — VxMS, в котором используется метод, подобный методу дифференциального обнаружения. Она собирается включить технологию VxMS в следующие корпоративные версии своих продуктов Symantec Client Security и Symantec AntiVirus.

Заметьте, что эти инструментальные средства не занимаются поиском сигнатур rootkit-утилит, а выявляют характерную для них активность. Это означает, что результаты указанной процедуры должны анализировать опытные ИТ-администраторы, способные определить, представляют ли собой угрозу те или иные файлы.

Предупреждающие знаки

Кроме всего прочего, обнаружение rootkit-утилит затрудняется подчас наличием большого числа администрируемых отделом ИТ настольных систем. Просто немыслимо запускать автономное инструментальное средство на каждом ПК — при этом вам придется иметь дело с каждым пользователем индивидуально. Когда производители продуктов безопасности наконец интегрируют инструментальные средства дифференциального обнаружения в пакеты безопасности с центральной консолью управления, эта проблема станет не столь критичной.

Пока же известен ряд признаков того, что система оказалась скомпрометированной, и если таковые наблюдаются, то применение автономных инструментальных средств вполне оправданно. Во-первых, при обнаружении машины, которая была инфицирована шпионской (spyware) или рекламной (adware) программой, вам следует запустить сканер rootkit-утилит. Во-вторых, некоторые rootkit-утилиты могут вызвать “замораживание” компьютеров. Если ваши машины “падают” без всякой видимой причины, то в ваш диагностический анализ необходимо включить сканирование на rootkit-программы. Другим признаком компрометации системы является типичное для инфицированной вредоносным ПО машины поведение — в частности, появление у нее больших объемов электронной почты или Web-трафика и связи по обходным каналам, использующим необычные порты или протоколы..

Инструментальные средства обнаружения rootkit-утилит

Отыскиваем “корень зла”

Средства обнаружения rootkit-утилит

Искоренить проблему!

Предупреждающие знаки

Компьютерная безопасность

Злоумышленники в нынешнем мире не ограничиваются простым обманом и уже не пользуются устаревшими вредоносными вирусами для атаки на компьютер, чтобы только взломать его и потребовать денежный выкуп. Сейчас их цель — получить полный контроль над электронным устройством. Управление компьютером дает доступ хакерам к личным данным, кодам, паролям, они могут также рассылать спам от имени пользователя и многое другое. Инструментом для такого захвата компьютера служат, так называемые, руткиты.

Руткит (англ. rootkit, то есть «набор root-а») — одна или набор нескольких программ, с помощью которых можно:

управлять чужим компьютером удаленно;
маскировать вредоносные объекты;
собирать личные данные пользователя.

Итак, rootkit – это программа для скрытия следов преступления хакеров или вредоносных кодов в ОС.

Чем опасны руткиты для компьютера

Руткиты не считаются вирусами. Сами по себе они не заражают компьютер и не причиняют вреда ему и его файлам. По сути, это коды для маскировки вирусов и вредоносных программ, приложений и файлов.

Эти коды маскируют определенный ключ реестра, который в свою очередь уже и запускает тот вредоносный объект, опасный для ПК. Таким образом, руткиты увеличивают продолжительность его влияния на компьютер.

Эти маскирующие руткиты трудны в обнаружении. Они используют хитрые схемы скрыть свое местоположение. Также они могут прятаться в системе на уровне ядра или замаскироваться под полезное программное обеспечение или приложение.

Руткиты относятся к программам с высоким уровнем риска для ПО и плохо поддаются удалению. Они могут быть опасны не только для стационарного компьютера и ноутбука, но и для IoT (сеть передачи данных между «вещами»).

Хакеры используют руткиты в целях:

Получить доступ к системе (backdoor – англ. черный ход) и контролировать ее. В данном случае руткит используется как шлюз для взлома ПК с последующим получение его учетных записей, паролей, кодов, личных данных.
Заразить ПК вирусными программным обеспечением. Такое ПО маскируется с помощью руткита и внедряется в ОС.
Контролировать антивирусные и другие сканирующие программы, чтобы распространить вредоносные объекты в системе.

Реже руткиты используются для добрых целей. Например, для поиска хакерских атак, мониторинга украденных ноутбуков или защиты ПО.

Виды руткитов

Руткиты могут обосноваться как внутри операционной системы компьютера, так и вредить вне ее.

Вне операционные руткиты — это вид программно-аппаратных кодов, которые работают на ступень выше любой ОС. Они устанавливаются в механизм ПО аппаратной виртуализации.

Руткиты, внедряющиеся внутрь операционной системы классифицируются следующим образом:

по уровню привилегий:

Руткиты, внедряющиеся в систему на правах пользователя, иногда администратора (User Level)

Цель — украсть личные данные или использовать ПК для хакерских атак.

Встречаются реже, самые сложные в обнаружении. Могут присутствовать на компьютере годами. Они внедряются в ОС с правами суперадминистратора (root доступ).

по принципу действий:

Руткиты, манипулирующие объектами ядра ОС (Direct kernel object manipulation)

Они внедряются в ядро ОС и модифицируют его. Разные части руткитов взаимодействуют друг с другом. Таким образом, появляется система внутри системы.

Руткиты, модифицирующие пути исполнения (Modify execution path)

Эти коды изменяют алгоритм работы системных функций.

Источники заражения руткитами

Как и другие вирусы, черви, трояны и вредоносные программы, на компьютер руткиты попадают с зараженных флешек, непроверенных ссылок в интернете, с электронными письмами от незнакомцев и т.д. Но источник содержит только часть кода внедрения руткита. После попадания в систему, он уже скачивает недостающую часть из интернета. Когда код руткита соберется в полном составе, он заработает и будет делать то, для чего создан.

Способы внедрения руткитов в операционные системы:

через непроверенные устройства, например, USB-флешки или внешние жесткие диски
при посещении опасных сайтов
при маскировке под надежные программы
по почте рассылаются файлы с начальным кодом руткита и пр.

Для заражения ПК руткитами достаточно минимального файла. Код с него спрячется внутри ОС и загрузит руткит полностью. Затем начнет находить слабые места системы и совершать вредоносные действия.

Методы обнаружения руткитов в системе

С точки зрения обнаружения, руткиты относятся к высокотехнологичным кодам. Они спрятаны без явных признаков наличия в системе. Его не видят многие антивирусные и сканирующие программы. В идеале, конечно, они должны перехватить подозрительные сигналы о передаче информации разных приложений ПК и выявлять наличие руткита сразу. Но, чаще руткиты заражают компьютер, оставаясь не замеченными, и стирает следы своей деятельности. Антивирусник в таких условиях не выявляет вредоносный объект, и, соответственно, не пытается его устранить.

Признаки, указывающие на присутствие руткита в ОС:

Периодическое зависание работы ПК

Разные действия руткита влияют на нагрузку операционной системы. Если при работе на компьютере запущено малое количество программ и приложений, и ПК зависает по неоправданным причинам, возможно, в систему внедрился руткит.

Руткиты часто управляются хакерами вручную и те производят свои действия в определенное подходящее время, не постоянно. Поэтому определить этот факт достаточно сложно.

Основные симптомы, что в системе появился руткит:

Исчезновение конфиденциальной личной информации с ПК
Неподтвержденный доступ к страницам соц. сетей, почте и другим сервисам
Блокировка (полная или частичная) доступа к ПК
Медлительная работа устройства
Беспричинное увеличение расхода оперативной памяти в ожидающем режиме
Снижение качества интернет связи

Если вы заметили один или несколько таких симптомов, проведите полную проверку своего устройства на наличие руткитов.

Как бороться с руткитами

Руткиты сложны в обнаружении и устранении. Но, есть антивирусные программы, которые способны сдерживать их атаки. Компании, разрабатывающие защитные ПО, постоянно анализирую новые руткиты и обновляют свои продукты.

Средства обнаружения и удаления руткитов

Самостоятельно обнаружить и удалить руткиты практически невозможны. IT-компаниями разработаны специальные программы и приложения.

ТОП-10 утилит для обнаружения и удаления руткитов:

Kaspersky TDSSKiller
RkUnhooker
Panda Anti-Rootkit
RogueKiller Anti-malware
Dr.Web Cureit
SUPERAntiSpyware 10.0.1214 Free
GMER и RootRepeal
Eset SysInspector
Malwarebytes Anti-Rootkit
Avast Anti-Rootkit

На сайтах специализированных компаний есть возможность скачать и установить эти утилиты по поиску и устранению вредоносных руткитов.

Как избежать заражения руткитами

Болезнь лучше предупредить, чем лечить. Соблюдение определенных правил снизит риск заражения системы компьютера руткитами.

Основные методы профилактики:

Своевременно обновлять ОС и ПО компьютера
Избегать подозрительные сайты
Игнорировать электронные спам
Не подключать к компьютеру непроверенные устройства
не скачивать и не устанавливать программы, файлы и прочие объекты из неизвестных источников
Не открывать подозрительные ссылки
Установить на ПК комплексную антивирусную программу и регулярно сканировать свой компьютер на наличие руткитов

Важно: Разработчики некоторых программ умышленно внедряют руткиты в свои продукты. Это прописывается в лицензионном соглашении. Но читают этот документ не многие.

Если ваш антивирус не справляется, то можно попробовать различные инструменты для удаления определенных типов вредоносных программ (таких как Trojan-Ransom.Win32.Rector, ZeroAccess, Wildfire Locker, Zeus и т.д.), руткитов и других.

Kaspersky предлагает более 10 инструментов для восстановления и защиты. К ним относятся:

Kaspersky Anti-Ransomware Tool: Этот инструмент помогает защититься от Rakhi, Bad Rabbit, Petya, WannaCry, TeslaCrypt и Rannoh ransomware
Kaspersky Virus Removal Tool: Вы можете использовать этот инструмент для сканирования и лечения вашего компьютера Windows
WildfireDecryptor: Этот инструмент может пригодиться для расшифровки файлов WFLX, зашифрованных Wildfire Locker.
TDSSKiller: Он помогает обнаружить и удалить вредоносные программы из семейства Rootkit.Win32.TDSS. Многие буткиты и руткиты, такие как Rootkit.Boot.Backboot.a, Virus.Win32.Cmoser.a, Backdoor.Win32.Phanta.a,b и т.д., также могут быть удалены с помощью этого инструмента.
RannohDecryptor: Используйте этот инструмент, если вам нужно расшифровать файлы, зашифрованные вредоносным ПО Trojan-Ransom.Win32.Rannoh
ShadeDecryptor: С его помощью можно расшифровать файлы, зашифрованные вредоносной программой Trojan-Ransom.Win32.Shade. Можно расшифровать файлы с расширениями .tyson, .no_more_ransom, .crypted000007, .breaking_bad, .xtbl, .windows10, .heisenberg и т.д.
CoinVaultDecryptor: Этот инструмент может очистить компьютер, который был заражен вредоносным ПО семейства Trojan-Ransom.MSIL.CoinVault
ScraperDecryptor: позволяет расшифровать файлы, зашифрованные программой Trojan-Ransom.Win32.Scraper
XoristDecryptor: Компьютер, зараженный вредоносными программами Trojan-Ransom.MSIL.Vandev или Trojan-Ransom.Win32.Xorist, может быть очищен с помощью этого инструмента.
ScatterDecryptor: Позволяет расшифровать файлы, зашифрованные вирусом Trojan-Ransom.BAT.Scatter.
RakhniDecryptor: Если файлы заблокированы с расширениями .kraken или .locked, этот инструмент поможет вам разблокировать такие файлы. Он также может помочь вам разблокировать ваш компьютер
RectorDecryptor: Используйте этот инструмент, если ваши файлы зашифрованы вредоносной программой Trojan-Ransom.Win32.Rector
Kaspersky Rescue Disk: Если какая-то вредоносная программа заблокировала ваш компьютер, и вы не можете получить к нему доступ, то этот инструмент спасательного диска может оказаться полезным.

McAfee предоставляет 8 различных средств защиты от вредоносных программ. Ниже приведен список всех этих инструментов:

NoVirusThanks предлагает более 10 отдельных инструментов для удаления конкретных вредоносных программ. Вот эти инструменты:

Anti-Rootkit: Данный инструмент анализа системы удобен для обнаружения присутствия руткитов и вредоносных программ. Он может обнаружить скрытые драйверы, процессы, скрытые модули DLL и т.д.
DLL Explorer: Помогает отобразить список уникальных и несистемных DLL-файлов.
File Governor: Может использоваться для разблокирования файлов и папок, чтобы вы могли переименовывать, удалять файлы и т.д.
Malware Removal: Программа может обнаруживать и затем удалять шпионские программы, мошеннические программы, трояны, сканировать браузеры на предмет прослушки трафика и т.д.
Registry DeleteEx: Этот инструмент может удалять заблокированные ключи реестра и значения, которые не могут быть удалены напрямую из реестра Windows и другими традиционными способами.
Stream Detector: Позволяет найти скрытые альтернативные потоки данных (ADS) на дисках NTFS, а затем помогает удалить нежелательные потоки и файлы.
Zeus Trojan Remover: Как видно из названия, этот инструмент может удалить все известные варианты банковского трояна ZeuS (известного как Wsnpoem или ZBot).
Threat Killer: Он помогает удалять вредоносные программы с помощью различных команд, таких как удаление ключа реестра, выгрузка DLL, отключение службы и т.д.
Hidden Process Finder: Помогает найти скрытые руткиты или процессы, которые не могут быть обнаружены с помощью диспетчера задач или других инструментов управления процессами.
Inf Remover: Помогает удалить файл Autorun.inf (или вирусный файл Autorun), находящийся в корневой папке подключенных устройств (включая USB-накопители).
DLL UnInjector: Может удалять DLL вредоносного ПО, а также выгружать DLL из выбранного процесса.
Handle Tracer: Помогает составлять список, искать и манипулировать открытыми дескрипторами на 32-разрядных версиях ОС Windows.
Smart File Delete: для безопасного удаления заблокированных файлов при следующей перезагрузке компьютера.

ESET предоставляет множество отдельных инструментов для удаления различных типов угроз или вредоносных программ. Вот некоторые из них: Win32/Filecoder.AESNI.A, Win32/Codplat.AA, JS/Bondat.A, Win32/TrojanDownloader.Necurs.A, Win32/Simda.B, Android/Simplocker.A, Win32/Spy.Tuscas, Win32/Zimuse.A, Win32/Poweliks.A, Win32/Goblin.C.Gen, Win32/Filecoder.WannaCryptor и другие.

В этом списке представлены все инструменты, предоставленные компанией ESET:

Acad/Medre.A cleaner
AES-NI decryptor
Adware.SuperFish cleaner
Bedep cleaner
BlueKeep checker
Conficker cleaner
Superfish cleaner
Crysis decryptor
Crypt888 decrypter
Win32/Daonol.C infiltration
ESET Dorkbot cleaner
Eternal Blue checker
ESET Merond.O cleaner
Filecoder.NAC cleaner
Elex cleaner
GandCrab decryptor
Win32/IRCBot cleaner
Filecoder.AE cleaner
Filecoder.AR cleaner
Mabezat decryptor
Mebroot cleaner
Win32/Necurs cleaner
Poweliks cleaner
Retefe decryptor
Retacino decrypter
Sirefef cleaner
ZbotZRcleaner
TeslaCrypt decrypter
Trustezeb.A cleaner.

Надеюсь, все эти инструменты будут полезны.

Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

Читайте также: