Термин «rootkit» происходит из описаний операционной системы Unix. Взломщики Unix-подобных систем действовали следующим образом: получив права супер-пользователя (root), чтобы скрыть следы своего пребывания и оставить для себя «потайной ход» (backdoor), они применяли «троянизированный» набор (kit) привычных инструментальных средств, таких как login, ps, ls, netstat, passwd и пр. Это и есть rootkit в понимании Unix.

В настоящее время для предотвращения своего обнаружения злоумышленники все чаще используют rootkit-технологий. Рост их популярности связан с тем что, исходные коды многих rootkit легко доступны в Интернете. Поэтому любой мошенник без особого труда может создать свою собственную модификацию.

Классификация Rootkit

 В настоящее время rootkit-программы классифицируют по двум основным признакам:

1. по времени существования:

Перманентные. Этот вид программ активируется при каждой загрузке компьютера или регистрации пользователя. Для этого rootkit применяет какой-либо способ автоматического исполнения, как правило с использованием реестра.

Временные. Такие rootkit-программы не сохраняют свой код и ликвидируются после перезагрузки компьютера.

2. по режиму функционирования.

Пользовательские (user-mode rootkits, UMR). Данный вид перехватывает и модифицирует ряд системных функций операционной системы компьютера, которые обеспечивают работу с файлами. Благодаря этому rootkit может предоставлять недостоверную информацию любым программам, потенциально способным выявить их присутствие. Таким образом действует, например, rootkit Vanquish, умеющий скрывать файлы, каталоги, процессы, записи реестра, системные сервисы.

Ядерные (kernel-mode rootkits, KMR). Ядерные rootkit-программы предоставляют наибольшую опасность, поскольку они перехватывают и модифицируют системные функции ядра операционной системы. На данный момент самым известным KMR считается Hacker Defender (hxdef). Он позволяет скрывать файлы, процессы, системные сервисы, драйверы устройств, записи реестра, открытые порты, жульничать со свободным дисковым пространством. Hacker Defender устанавливает «потайные ходы», скрытно регистрируется как системный сервис и внедряет свой драйвер. Кроме того, он полиморфен (то есть для его распознавания невозможно зафиксировать какую-то одну определенную сигнатуру), для шифрования его исполняемых файлов обычно используется довольно изощренное приложение Morphine.

Защита от Rootkit

Простейшие rootkit-программы могут быть обезврежены с помощью обычных антивирусов. Устранить ядерный rootkit значительно сложнее. Можно действовать вручную. Для этого необходимо загрузить подозрительную операционную систему в Safe Mode и постараться найти все данные, которые до того были скрыты. Однако это метод не только трудоемок, но и не всегда приемлем, если речь идет, например, о действующем сервере. Есть другой вариант: можно исследовать жесткие диски подозрительной машины на гарантированно «чистом» компьютере.

Однако для борьбы с rootkit существуют также и специализированные программы, как платные, так и бесплатные. Например, бесплатный антируткит GMER, который позволяет увидеть практически всю невидимую деятельность операционной системы. Он показывает программы, библиотеки, модули, сервисы, маскирующиеся процессы, невидимые ключи реестра, а также все автоматически запускаемые компоненты операционной системы. Кроме того, данная утилита может вести мониторинг запускаемых приложений, загружаемых драйверов, библиотек, обращений к реестру и работы TCP/IP соединений. Вся получаемая информация может быть сохранена в лог-файлах для последующего анализа.

Panda Anti-Rootkit также поможет выявить самые трудно определяемые руткиты. Программа имеет простой интерфейс, предоставляет озможность работать из командной строки.

Помимо вышеперечисленных можно воспользоваться любым другим антируткитом: AVG Anti-Rootkit Free, Rootkit Revealer, Sophos Anti-Rootkit, Trend Micro RootkitBuster и другими.