Програма за проверка на Rootkit

[Гост Zig Zag]

Въпроса е коя програма да използваме, за да проверим компютъра дали има руткит?

[dan40o]

Има един инструмент на Malwarebytes. Malwarebytes Anti-Rootkit, може да я изтеглиш от тук. Редактиран Декември 31, 2012 от dan40o

[s.feradov]

В повечето случаи се използват специфични инструменти като MBAR, TDSSKiller, GMER, aswMBR, Rootkit Unhooker, Rootkit Revealer и т.н.

[Aquarius]

Само бих искал да кажа като допълнение към написаното от колегата преди мен, че е задължително да се сканира системата с повече от един инструмент, защото различните инструменти (например Rootkit Revealer и GMER) използват съвсем различни алгоритми за засичане на rootkit-и (няма да изпадам в подробности какви са точно), а освен това се случва и даден rootkit да "заблуждава" конкретен инструмент поради слабост в начина му на работа, така че за да има някакъв процент на сигурност, когато се разчита на инструменти за сканиране то трябва да се сканира с поне 2-3 различни такива.

 

За мен лично най-добрият вариант (това, което и аз лично правя понякога) е изцяло ръчен анализ на системата с помощта на WinDbg, стартиран в подходящия режим на работа. Това е изключително мощно средство, но съответно изисква и доста по-сериозни познания както по самия инструмент, така и по операционната система, поради което не е подходящ за всеки.

[Гост Zig Zag]

Благодаря за отговорите. Много полезно!

Таман щях да запитам дали с една програма е достатъчно, докато четях s.feradov, но l.kanelov е отговорил предварително.

Аз оставам с впечатлението, че загнездените вируси ще ни лазят вечно. Кой е най-простия начин за ликвидация на неоткриваем руткит?

[s.feradov]

Като цяло, няма лесен и прост начин за премахването на т.нар. rootkits. Повечето от тях използват различни методи за инфектиране на системата и извършване на зададените дейности (hooks, callback, layered drivers и т.н).

 

Rootkit като TDL2 скрива съответния си драйвър, скрива съответни ключове от регистратурата, свързани с изпълнението на самия rootkit. Допълнително драйвърът зарежда няколко kernel mode threads, като по този начин се гарантира възстановяване на т.нар. hooks, инсталирани от зловредния код. Това са само част от стъпките при "интегриране" на кода.

 

Поради тази причина, премахването на подобен тип зарази се извършва от специалисти, които са запознати с действието на зловредния код.

[Гост Zig Zag]

С премахване на системата не си ли отива и руткит-а? Знам че се инфектират MBR и биоса, но не знам стъпките за поправка.

[s.feradov]

За да се премахне зловреден код, който е инфектирал Master Boot Record, е необходимо съответната информация в записа да бъде пренаписана. Това означава изтриване и повторно създаване на отделните партишъни. Поне доколкото се отнася до реинсталиране на операционната система. Има начини за премахване на зловредния код посредством модифициране на MBR от самия потребител. Това обаче е наложително да се извършва от хора, които имат значителни познания в тази област.

 

Съществуват изключително малък брой заплахи, които са свързани с атака на самия BIOS.

[Гост Zig Zag]

 

А какво се прави със System Reserved? И него ли триеме?

[B-boy/StyLe/]

  On 1/2/2013 at 8:50 PM, Zig Zag написа:

 

А какво се прави със System Reserved? И него ли триеме?

 

В никакъв случай - там се съдържа информацията за буутване на Windows-a (BCD) и без този дял, Windows-a няма да стартира изобщо!

 

И не винаги при заразен MBR - се презаписва MBR-то, защото може да се изгуби достъпа до Recovery Partition-a (ако има такъв и това ще лиши собственика на лаптопа от т.нар. Factory Reset)...При някои рууткити се изисква fixmbr, fixboot, изтриване на скрития дял на TDL4 (може и с Gparted) и поставянето на правилния дял като активен такъв, ако рууткита е VBR (използващ метода на виртуализацията, за да се засече се изисква да се закачи хардиска на друга система и да се сканира от нея)...а наскоро се появи и ново поколение бууткити.

 

Win32/Gapz: steps of evolution

Win32/Gapz: New Bootkit Technique

 

Иначе има още доста видове - ZeroAccess който еволюира до usermode rootkit (преди използваше техники на омазване на правата, после мина на Alternate Data Stream, после почна да пачва services.exe и т.н. който разбира се трябва да се замести с чисто копие и т.н.)

 

Някои рууткити като Necurs модифицират BCD - testsigning за да позволят зареждането на неподписани драйвъри и също така заключва и скрива всички услуги в системата за да не позволи достъп на скенерите до тях и за да ги обърка. И т.н.

[Гост Zig Zag]

Може ли и малко сведения от къде може да се заразим с такива вируси? Мене вече ме обзе пълна параноя и си мисля, че компа ми е болен. Като си помисля какви работи съм стартирал. Включително това EXE, което инсталира нещо за около 8 секунди, но с грешки, изглежда не е писано за нашите системи, а за XP. Това обаче беше в миналото, от тогава съм правил инсталации, но не знам да не е нещо по-сериозно.

 

Изтегли virus.rar

Парола: 123

 

Компа ми има навика на всяка една нова инсталация да похърква лекичко след 5-10 минути бездействие, докато размърдам мишката, сякаш се е захванал да дефрагментира, но и при изключена автоматика пак се среща това явление.

[Гост Zig Zag]

Как може да се предпазим от руткит, освен с програма за защита?

[Night_Raven]

Защитата е по-скоро универсална срещу зловредния код като цяло и е комбинация от: здрав разум (което на свой ред включва различни под-елементи), актуалност на софтуера, защитен софтуер и късмет. Съотношението е различно при различните потребители.

Повече информация има в тази тема.