Разное

Касперский поиск руткитов: Как включить или выключить фоновую проверку

Содержание

Дополнительно

Дополнительно

На закладке Дополнительно вы можете настроить различные параметры поиска угроз, влияющие на тщательность проверки.

В блоке Методы проверки вы можете задействовать использование эвристического анализа. В результате проверка будет вестись на основе анализа типичных последовательностей операций, позволяющих сделать вывод о природе файла с достаточной долей вероятности. Преимущество метода в том, что новые угрозы распознаются до того, как их активность станет известна вирусным аналитикам. Дополнительно вы можете выбрать уровень детализации проверки, для этого передвиньте ползунок в одну из позиций: поверхностный, средний или глубокий.

Также вы можете задать дополнительные параметры проверки на вирусы:

  •  Поиск руткитов. Руткит (rootkit) – это набор утилит, обеспечивающих сокрытие вредоносных программ в операционной системе. Данные утилиты внедряются в систему, маскируя свое присутствие, а также наличие в системе процессов, папок, ключей реестра других вредоносных программ, описанных в конфигурации руткита.
    Если поиск включен, вы можете установить детальный уровень обнаружения руткитов, выбрав флажок  Углубленный анализ. В этом случае будет выполняться тщательный поиск данных программ путем анализа большего количества объектов разного типа. По умолчанию флажки сняты, поскольку включение данного режима требует значительных ресурсов операционной системы.
  •  Уступать ресурсы другим программам – приостанавливать выполнение данной задачи проверки на вирусы, если ресурсы процессора заняты другими программами.

В блоке Технологии проверки вы можете выбрать технологии проверки:

  •  Технология iChecker – технология, позволяющую увеличить скорость проверки за счет исключения некоторых объектов. Исключение объекта из проверки осуществляется по специальному алгоритму, учитывающему дату выпуска баз Антивируса Касперского, дату предыдущей проверки объекта, а также изменение параметров проверки.

    Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а также применима только к объектам с известной программе структурой (например, файлы exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).

  •  Технология iSwift – технология, являющаяся развитием технологии iChecker для компьютеров с файловой системой NTFS. Технология iSwift имеет ограничение: она привязана к конкретному местоположению файла в файловой системе, а также применима только к объектам, расположенным в файловой системе NTFS.

По умолчанию используются обе технологии.

Чтобы остановить работу компонента на некоторое время, в блоке Приостановка задачи установите флажок  По расписанию и нажмите на кнопку Расписание. В открывшемся окне задайте временной интервал, в течение которого компонент работать не будет.

Чтобы отключить работу компонента при работе с программами, требующими значительных ресурсов, установите флажок  При запуске программ и нажмите на кнопку Выбрать. В открывшемся окне сформируйте список программ.

В начало

    Лучшие бесплатные программы для поиска и удаления руткитов

    org/BreadcrumbList»>
    Категория ~ Безопасность
    – Автор: Игорь (Администратор)
    • Что такое руткиты?
    • Обзор бесплатных программ для удаления руткитов
    • Программа удаления руткитов Kaspersky TDSSKiller от одноименной компании
    • GMER и RootRepeal комплексный подход к поиску и удалению руткитов 
    • Программа удаления руткитов Avast Anti-Rootkit от известного производителя 
    • Антивирусное средство Dr.Web CureIt! профилактика полезна
    • Ещё утилиты для поиска и удаления руткитов
    • Руководство по быстрому выбору (ссылки для скачивания бесплатных программ для удаления руткитов)

    Что такое руткиты?

    В данной категории рассматриваются различные программы для поиска и удаления руткитов. Наибольшая опасность таких вредоносных программ заключается в том, что они получают контроль на уровне ядра операционной системы. Проще говоря, они становятся частью операционной системы, и могут делать что угодно. Скрывать процессы, блокировать доступ, использовать ваш компьютер для работы сети ботнета, загружать различные программы и много другого. При этом вы можете даже и не подозревать, что у вас находится руткит. Потому что их основная задача не сломать или каким-то образом засорить систему (хотя и такие бывают), а скрытно действовать в течении длительного времени. Некоторые из таких руткитов даже способны блокировать работу антивирусных программ. 

    Обзор бесплатных программ для удаления руткитов

    Существует много программ для борьбы с руткитами. Но, большинство из них предназначены для технически подкованных пользователей, которые хорошо знают особенности работы операционных систем. Такие программы вряд ли подойдут обычным пользователям. Однако, в данном классе программ есть и несколько вариантов, которые не потребуют от пользователей особых технических знаний, при этом они будут столь же эффективны.

    Программа удаления руткитов Kaspersky TDSSKiller от одноименной компании

    Одним из лучших решений можно назвать Kaspersky TDSSKiller. Данная программа имеет достаточно простой и понятный интерфейс. Она достаточно быстро работает, и способна обнаружить достаточно большое число руткитов. 

    TDSSKiller удалось обнаружить и удалить все известные современные руткиты (TDSS, Zeus, TDL4 и т.д.). Единственный ее недостаток — это то, что очень похоже, что программа распознает только небольшой диапазон руткитов. И хочется надеяться, что со временем количество распознаваемых типов будет только увеличиваться. Тогда можно будет смело сказать, что это решение, которое подойдет всем. 

    Но, тем не менее, его положительные стороны все же перевешивают все негативные моменты, так как программа во всех тестах быстро и просто находила и удаляла руткиты. При этом так же немаловажным является то, что она нормально работает с 64-битными системами.

    GMER и RootRepeal комплексный подход к поиску и удалению руткитов 

    Есть пара хороших программ, которые будут очень полезными опытным пользователям. Это GMER и RootRepeal (не поддерживает 64-битную ОС). Это очень популярные программы, но для их использования нужно хорошо понимать устройство операционных систем, чтобы можно было интерпретировать их результаты сканирования системы. У каждой из этих программ имеется достаточно хорошая документация по работе и использованию. Но, если вы относитесь к той категории пользователей, которые хотят нажать только одну кнопку, и через некоторое время получить надпись «Теперь все просто отлично», то тогда вам больше подойдет Kaspersky TDSSKiller.

    На самом деле сложно их порекомендовать обычным пользователям, ведь результаты для них могут показаться просто набором непонятных символов (результаты имеют чисто технических характер, т.е. полное отсутствие красивых фраз «Утилита все сама очистила», «Вам не о чем беспокоиться» и т.д.). Обычно действовать необходимо быстро, поэтому эти программы вы вспомните в последнюю очередь. Но, если все же вы каким-то образом поймали особо редкий и сложно очищаемый руткит, то они станут неоценимыми помощниками в борьбе за свой компьютер, ведь вам будет предоставлен огромный спектр полезной информации.

    Программа удаления руткитов Avast Anti-Rootkit от известного производителя 

    Интерфейс Avast Anti-Rootkit напоминает окно командной строки, но не надо пугаться, ведь интерфейс очень простой и понятный в использовании. Эта программа может сканировать компьютер и MBR на наличие руткитов, а так же фиксировать ряд проблем. Обычным пользователям может быть немного не просто понять результаты работы программы, но тем не менее, программа свою задачу выполняет хорошо. Она так же хорошо нашла TDSS и ряд других современных руткитов, как и TDSS Killer. Но, были небольшие проблемы при их удалении. Зато у данной программы есть одна важная функциональность, без которой порой сложно обойтись при удалении руткитов. Это возможность выполнить FixMBR прямо из Windows. Обычно для этого нужно загрузиться с диска восстановления Windows или LiveCD. А в данной программе для этого надо всего лишь кликнуть на кнопке FixMBR. Именно поэтому такую программу стоит всегда держать при себе. 

    Антивирусное средство Dr.

    Web CureIt! профилактика полезна

    Следующий продукт, который входит в обзор — это Dr.Web CureIt!. Его всегда стоит держать при себе. CureIt! не является полноценным инструментом для поиска и удаления руткитов, как другие программы, о которых шла речь ранее. Это скорее бесплатный сканер вредоносных программ, по сути, миниантивирус. Но, он достаточно эффективен при борьбе с рядом руткитов. Правда, гарантировать, что он сможет выловить все руткиты тоже нельзя. Его скорее стоит применять как дополнение к основному средству по борьбе с руткитами. Тем не менее, стоит отметить, что на время своего сканирования он создает достаточно безопасную среду исполнения. Тот факт, что он останавливает все процессы делает ему только плюс, так как вредоносные программы могут попытаться блокировать его работу. Он так же может производить глубокое сканирование вашего диска. Так же позволяет перезагрузиться в безопасный режим для поиска и удаления вредоносных программ.

     

    Ещё утилиты для поиска и удаления руткитов

    Sophos Anti-Rootkit (теперь называется Sophos Virus Removal Tool, к сожалению стала триальной, возможно, старые версии еще можно найти на файловых хранилищах) — неплохая и простая в использовании программа, без возможности указывать тип сканирования (она сканирует все). Но, также как и CureIt!, ее сложно назвать специализированной программой для поиска и удаления руткитов. Т.е. тоже можно использовать как дополнение к основному средству, правда в отличие от CureIT! она требует установки. Процесс работы очень прост. Вы просто запускаете сканирование и ожидаете результатов. После окончания поиска в интерфейсе появляется список обнаруженных угроз. При этом вы можете развернуть каждую угрозу и посмотреть где именно располагаются хвосты каждой конкретной угрозы. Возможно она была бы отличной утилитой по поиску и удалению руткитов, если бы она не была переориентирована со специализированного средства до миниантивируса. 

     

    F-Secure Blacklight (к сожалению, сайт недоступен, необходимо искать версию на файловых хранилищах) это еще один отличный инструмент для удаления руткитов. К сожалению, его поддержка закончилась пару лет назад, и теперь его даже не найти на их сайте. Тем не менее, он все же есть на просторах интернета и совместим с Windows Vista и XP. Если вы попытаетесь запустить его на Windows 7, то будьте готовы увидеть диалоговое окно с сообщением «несовместимая ошибка».

    BlackLight хорошо находит и удаляет старые руткитами, но рассчитывать на то, что он сможет обнаружить самые современные руткиты — будет грубой ошибкой. Именно поэтому все же рекомендуется использовать другие программы.

     

    Руководство по быстрому выбору (ссылки для скачивания бесплатных программ для удаления руткитов)

    Kaspersky TDSSKiller
      Простой и понятный интерфейс. Быстро работает. Справляется с известными современными руткитами. 
      Очень похоже, что программа распознает только небольшой диапазон руткитов.

    Перейти на страницу загрузки Kaspersky TDSSKiller

    GMER
      Отличный инструмент с подробными техническими отчетами о сканировании.
      Нет файла справки, но информация есть в интернете. Не подходит для обычных пользователей.

    Перейти на страницу загрузки GMER

    Avast Anti-Rootkit
      Хорошо работает. Обнаруживает большинство руткитов. Проста в использовании. Возможность ‘Fixmbr «в Windows — неоценимо.
      Результаты иногда трудно понять. При попытке удалить некоторые руткиты зависала. 

    Перейти на страницу загрузки Avast Anti-Rootkit

    Dr.Web CureIt!
      Останавливает процессы. Создает собственную среду исполнения. 
      Нельзя использовать как основное средство по борьбе с руткитами. 

    Перейти на страницу загрузки Dr.Web CureIt!

    Рубрики:

    • вирус
    • очистка
    • поиск
    • руткит
    • сканер
    • удаление

    ☕ Понравился обзор? Поделитесь с друзьями!

    • Лучшие бесплатные утилиты обнаружения и предотвращения вторжений для домашнего использования
    • Лучшие бесплатные утилиты для удаления рекламных и шпионских программ
    Добавить комментарий / отзыв

    загрузок Windows Anti-Rootkit

    загрузок Windows Anti-Rootkit
    • Malwarebytes Anti-Rootkit

      Malwarebytes Anti-Rootkit — это бесплатная программа, которую можно использовать для поиска и удаления руткитов с вашего компьютера. При запуске Malwarebytes Anti-Rootkit просканирует ваш компьютер и позволит вам удалить все найденные руткиты.

      • Всего загрузок: 556 102
      • Скачано за последнюю неделю: 377
      •   15 ноября 2018 г.
    • Vba32 AntiRootkit

      Vba32 AntiRootkit — это расширенный сканер руткитов от VirusBlockAda. Этот бесплатный сканер будет искать руткиты режима ядра, подозрительные автозапуски и скрытые процессы. VBA AntiRootkit — это продвинутый инструмент, поскольку он не выполняет автоматическое сканирование и удаление. Вместо этого он отображает любые возможные проблемы, с которыми вам затем придется решать, как действовать.

      • Всего загрузок: 56 512
      • Скачано за последнюю неделю: 48
      • 03 декабря 2016 г.
    • McAfee Labs Rootkit Remover

      McAfee Labs Rootkit Remover — это бесплатный автономный продукт, который сканирует ваш компьютер на наличие руткитов и пытается их удалить. Эта версия Rootkit Remover ограничена, поскольку она обнаруживает и удаляет только семейство руткитов ZeroAccess и TDSS.

      • Всего загрузок: 46 399
      • Скачано за последнюю неделю: 77
      •   21 мая 2012 г.
    • Антируткит Panda

      Panda Anti-Rootkit — бесплатный сканер руткитов от Panda Security. Эта программа просканирует ваш компьютер на наличие руткитов и попытается их удалить.

      • Всего загрузок: 44 153
      • Скачано за последнюю неделю: 25
      •   21 августа 2016 г.
    • Trend Micro RootkitBuster

      Trend Micro RootkitBuster — это программа, которая сканирует ваш компьютер на наличие руткитов. Этот сканер будет сканировать на наличие руткитов, использующих новейшие технологии, включая заражение основной загрузочной записью (MBR).

      • Всего загрузок: 68 930
      • Скачано за последнюю неделю: 42
      •   21 августа 2016 г.
    • RootRepeal — Детектор руткитов

      RootRepeal — это сканер руткитов, который сканирует драйверы режима ядра, независимо от того, скрыты ли они или файл драйвера скрыт на диске. Он также имеет возможность искать скрытые файлы, скрытые процессы, перехватчики SSDT, скрытые службы и скрытые объекты.

      • Всего загрузок: 39 869
      • Скачано за последнюю неделю: 29
      •   15 ноября 2018 г.
    • RootkitRevealer

      RootkitRevealer — сканер руткитов от Microsoft Sysinternals. Эта программа выполнит поиск руткитов пользовательского режима или режима ядра и перечислит все найденные несоответствия API.

      • Всего загрузок: 46 122
      • Скачано за последнюю неделю: 22
      •   19 мая 2012 г.
    • TDSSKiller

      TDSSKiller — утилита, созданная Лабораторией Касперского и предназначенная для удаления руткита TDSS. Этот руткит известен под другими именами, такими как Rootkit.Win32.TDSS, Tidserv, TDSServ и Alureon. TDSSKiller также попытается удалить другие руткиты, такие как руткит ZeroAccess или ZeroAccess, если он будет обнаружен.

      • Всего загрузок: 5 445 775
      • Скачано за последнюю неделю: 879
      •   28 ноября 2018 г.
    • GMER

      GMER — это сканер руткитов, который ищет на вашем компьютере руткиты, а затем позволяет вам попытаться их удалить.

      • Всего загрузок: 178 165
      • Скачано за последнюю неделю: 132
      •   15 ноября 2018 г.
    • aswMBR

      aswMBR — это сканер руткитов, который ищет на компьютере руткиты, заражающие главную загрузочную запись (MBR) вашего компьютера. Сюда входят руткиты TDL4/3, MBRoot (Sinowal) и Whistler. Чтобы эта программа работала должным образом, она должна сначала загрузить определения вирусов Avast, поэтому перед ее использованием вам потребуется активное подключение к Интернету.

      • Всего загрузок: 182 125
      • Скачано за последнюю неделю: 37
      •   24 августа 2012 г.

    Обнаружение нового руткита UEFI раскрывает неприглядную правду: атаки невидимы для нас

    БУТКИТ/РУТКИТ/ВРЕДОНОСНАЯ ПРОШИВКА —

    Оказывается, они не такие уж и редкие.

    Мы просто не знаем, как их найти.

    Дэн Гудин —

    Увеличить

    Getty Images

    Исследователи распаковали крупную находку в области кибербезопасности — вредоносный руткит на основе UEFI, который активно используется с 2016 года для обеспечения того, чтобы компьютеры оставались зараженными даже в случае переустановки операционной системы или полной замены жесткого диска.

    Прошивка компрометирует UEFI, низкоуровневую и очень непрозрачную цепочку прошивок, необходимую для загрузки почти каждого современного компьютера. Как программное обеспечение, которое связывает прошивку устройства ПК с его операционной системой, UEFI — сокращение от Unified Extensible Firmware Interface — является самостоятельной ОС. Он расположен в чипе флэш-памяти, подключенном к SPI, припаянном к материнской плате компьютера, что затрудняет проверку или исправление кода. Поскольку это первое, что запускается при включении компьютера, оно влияет на ОС, приложения безопасности и все остальное программное обеспечение, которое следует за ним.

    Экзотика, да. Редкий, нет.

    В понедельник исследователи из «Лаборатории Касперского» профилировали CosmicStrand, название фирмы по безопасности для сложного руткита UEFI, который компания обнаружила и получила с помощью своего антивирусного программного обеспечения. Находка является одной из немногих таких угроз UEFI, которые, как известно, использовались в дикой природе. До недавнего времени исследователи предполагали, что технические требования, предъявляемые к разработке вредоносного ПО UEFI такого калибра, делают его недоступным для большинства злоумышленников. Теперь, когда «Лаборатория Касперского» приписывает CosmicStrand неизвестной китайскоязычной хакерской группе с возможными связями с вредоносным ПО для криптомайнинга, этот тип вредоносного ПО может оказаться не таким уж редким.

    «Самым поразительным аспектом этого отчета является то, что этот UEFI-имплантант, по-видимому, активно использовался с конца 2016 года — задолго до того, как UEFI-атаки стали публично описываться», — пишут исследователи «Лаборатории Касперского». «Это открытие вызывает последний вопрос: если это то, что злоумышленники использовали тогда, то что они используют сегодня?» Реклама

    В то время как исследователи из другой охранной фирмы Qihoo360 сообщили о более ранней версии руткита в 2017 году, «Лаборатория Касперского» и большинство других западных охранных фирм не обратили на это внимания. Новое исследование «Лаборатории Касперского» подробно описывает, как руткит, обнаруженный в образах прошивки некоторых материнских плат Gigabyte или Asus, может перехватить процесс загрузки зараженных машин. Технические основы свидетельствуют о сложности вредоносного ПО.

    Руткит — это вредоносная программа, работающая в самых глубоких областях операционной системы, которую она заражает. Он использует это стратегическое положение, чтобы скрыть информацию о своем присутствии от самой операционной системы. Между тем, буткит — это вредоносное ПО, которое заражает процесс загрузки машины, чтобы сохраниться в системе. Преемник устаревшего BIOS, UEFI — это технический стандарт, определяющий, как компоненты могут участвовать в запуске ОС. Это самый «последний» вариант, так как он был представлен примерно в 2006 году. Сегодня почти все устройства поддерживают UEFI, когда дело доходит до процесса загрузки. Ключевым моментом здесь является то, что когда мы говорим, что что-то происходит на уровне UEFI, это означает, что это происходит при запуске компьютера, еще до загрузки операционной системы. Какой бы стандарт ни использовался во время этого процесса, это всего лишь деталь реализации, и в 2022 году это почти всегда будет UEFI.

    В электронном письме исследователь «Лаборатории Касперского» Иван Квятковски написал:

    Таким образом, руткит может быть буткитом, а может и не быть, в зависимости от того, где он установлен на машине жертвы. Буткит может быть руткитом, а может и не быть, если он заразил компонент, используемый для запуска системы (но, учитывая, насколько они обычно низкоуровневы, буткиты обычно будут руткитами). Прошивка — это один из компонентов, который может быть заражен буткитами, но есть и другие. CosmicStrand одновременно является всем этим: он обладает скрытыми возможностями руткита и заражает процесс загрузки посредством злонамеренных исправлений образа прошивки материнских плат.

    Рабочий процесс CosmicStrand состоит из установки «крючков» в тщательно выбранных точках процесса загрузки. Хуки — это модификации обычного потока выполнения. Обычно они представляют собой дополнительный код, разработанный злоумышленником, но в некоторых случаях законный пользователь может внедрить код до или после определенной функции, чтобы реализовать новые функции.

    Рабочий процесс CosmicStrand выглядит следующим образом:

    • Исходная зараженная прошивка запускает всю цепочку.
    • Вредоносная программа устанавливает вредоносный хук в диспетчере загрузки, позволяя ему модифицировать загрузчик ядра Windows перед его выполнением.
    • Вмешавшись в загрузчик ОС, злоумышленники могут установить еще один хук в функции ядра Windows.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *