Руткит

Rootkit — программа, которая скрывает от антивирусов собственные вредоносные действия, либо маскирует работу другого вредоносного ПО — например, трояна. Руткитом скрываются, в частности, системные процессы, файлы, драйверы, записи в реестре и сетевые соединения, не позволяя антивирусам идентифицировать следы присутствия этой зловредной программы.

Функционал руткитов разнообразен: они могут воровать пароли, данные банковских карт, считывать нажатия клавиатуры, дистанционно управлять ботами для DDoS-атак, отключать антивирусы и пр.

Название сложилось из root («суперпользователь» в терминологии Unix) и kit («комплект»). То есть руткит — это набор инструментов для системных действий с правами администратора. На самом деле, по части прав руткиты делятся на две категории: пользовательского уровня и уровня ядра.

У руткита с правами пользователя такой же статус, как у любого обычного приложения, которое установлено пользователем-жертвой. Они маскируются под системный процесс и паразитируют на приложениях, нарушая их работу или корректируя ее нужным образом.

«Ядерные» руткиты получают полный доступ к системе на уровне ядра ОС. Это самая опасная их разновидность. Обнаружить и удалить ядерный руткит куда сложнее, чем руткит пользовательского уровня. Один из примеров — буткит (подвид руткита) Backdoor.Win32.Sinowal, который заражает загрузочный сектор жесткого диска MBR (Master Boot Record) и запускается до загрузки системы, получая над ней полный контроль.

Руткиты скачиваются под видом бесплатного ПО, прячутся за баннерами и ссылками на зараженных сайтах, загружаются с внешних накопителей (флешек, SD-карт, дисков).