Руткит — это программное обеспечение, предоставляющее постоянный привилегированный доступ к компьютеру, скрывая свое присутствие от пользователей и администраторов. Сами по себе руткиты не всегда опасны, чего нельзя сказать о программах и процессах, которые они маскируют. В отличие от вирусов, руткит получает доступ к системе с правами администратора, а потому способен нанести гораздо больший ущерб.
Самое неприятное, что обнаружить и удалить проникший в систему руткит очень затруднительно, поскольку его основная задача — это маскировка.
Тем не менее, бороться с руткитами можно и нужно. Что еще лучше — от них можно обороняться.
1. Защитите свои компьютеры
Обезопаситься от всех угроз разом, конечно, не получится, но это не значит, что защитой можно пренебрегать. После установки Linux я всегда первым делом инсталлирую rkhunter. Эта утилита обеспечивает эффективное обнаружение руткитов. На других платформах следует пользоваться проверенными защитными средствами типа AVG Anti Rootkit или ComboFix.
2. Обращайте внимание на симптомы
Хотя симптомы заражения руткитом весьма смутны и неопределенны, обнаружить его все-таки можно. Так, если из разных источников поступают жалобы на то, что ваш компьютер массово рассылает спам, скорее всего, он попал в ботнет, деятельность которого маскируется руткитом. Если веб-сервер демонстрирует подозрительное поведение при перенаправлении, дело тоже может быть в рутките.
В системах типа UNIX следует обращать особое внимание на появление модифицированных версий исполняемых файлов и изменение структуры каталогов. Если при выполнении команды ls /usr/bin или ls /usr/sbin привычные приложения в списке оказываются названы неправильно, существует большая вероятность, что компьютер заражен. Разумеется, самый простой способ обнаружения руткитов — регулярно сканировать систему с помощью rkhunter или аналогичных инструментов.
3. Отключите зараженный компьютер
Обнаружив признаки заражения, сразу же отключите инфицированный компьютер. Затем извлеките из него жесткий диск, смонтируйте его в другой системе (желательно не Windows) и сохраните все важные данные на другой носитель. Велика вероятность того, что операционную систему придется переустанавливать, поэтому нужные файлы лучше переместить в безопасное место. Оставлять зараженный компьютер включенным значит вредить себе еще больше, особенно если он является распространителем спама.
4. Обязательно используйте Tripwire
Tripwire отслеживает изменения в файлах и каталогах системы. Одна из главных задач руткита — скрывать присутствие вредоносных программ. Зачастую это достигается путем переименования файлов и папок или создания файлов и каталогов с похожими именами. Tripwire помогает сразу же обнаружить такие изменения. Очень важно инсталлировать эту утилиту сразу же после установки операционной системы, потому что если компьютер уже заражен, от Tripwire будет мало толку.
5. Попробуйте снять дамп памяти
Это непростой способ, воспользоваться которым могут только специалисты, имеющие доступ к закрытым утилитам и коду. При подозрении на заражение можно снять дамп памяти ядра или всей системы, и если руткит на компьютере есть, его действия будут отражены в этом дампе. Полученную информацию можно проанализировать с помощью специального отладочного инструмента. В процессе анализа руткит не может замаскировать следы своего присутствия и неминуемо будет обнаружен. Правда, если дошло до таких суровых мер, дело наверняка кончится переустановкой системы.
Главное — профилактика
Руткиты — самая опасная из компьютерных инфекций, поэтому лучше всего установить специальное программное обеспечение, чтобы защититься от их проникновения. Главная проблема заключается в том, что от руткитов трудно избавиться: чаще всего они вынуждают сохранять данные на другой диск и переустанавливать всю систему. Поэтому следует проявлять бдительность и обороняться от заражения всеми доступными средствами.
