Руткит
Rootkit — программа, которая скрывает от антивирусов собственные вредоносные действия, либо маскирует работу другого вредоносного ПО — например, трояна. Руткитом скрываются, в частности, системные процессы, файлы, драйверы, записи в реестре и сетевые соединения, не позволяя антивирусам идентифицировать следы присутствия этой зловредной программы.
[text_with_btn btn=”Узнать больше” link=”https://itglobal.com/ru-kz/services/info-security/security-audit/”]Аудит информационной безопасности[/text_with_btn]Функционал руткитов разнообразен: они могут воровать пароли, данные банковских карт, считывать нажатия клавиатуры, дистанционно управлять ботами для DDoS-атак, отключать антивирусы и пр.
Название сложилось из root («суперпользователь» в терминологии Unix) и kit («комплект»). То есть руткит — это набор инструментов для системных действий с правами администратора. На самом деле, по части прав руткиты делятся на две категории: пользовательского уровня и уровня ядра.
У руткита с правами пользователя такой же статус, как у любого обычного приложения, которое установлено пользователем-жертвой. Они маскируются под системный процесс и паразитируют на приложениях, нарушая их работу или корректируя ее нужным образом.
«Ядерные» руткиты получают полный доступ к системе на уровне ядра ОС. Это самая опасная их разновидность. Обнаружить и удалить ядерный руткит куда сложнее, чем руткит пользовательского уровня. Один из примеров — буткит (подвид руткита) Backdoor.Win32.Sinowal, который заражает загрузочный сектор жесткого диска MBR (Master Boot Record) и запускается до загрузки системы, получая над ней полный контроль.
Руткиты скачиваются под видом бесплатного ПО, прячутся за баннерами и ссылками на зараженных сайтах, загружаются с внешних накопителей (флешек, SD-карт, дисков).