Существует много различных типов компьютерных вредоносных программ, и те, которые используют технологии руткитов, являются наихудшими, потому что их сложнее обнаружить и удалить. Технология Rootkit способна скрыть свое присутствие от самых основных инструментов, встроенных в Windows, таких как диспетчер задач, до вашего самого надежного брандмауэра или антивирусного программного обеспечения, и вы даже не будете знать, что он там есть. Это достигается путем установки и загрузки драйверов режима ядра, которые могут позволить вредоносной программе работать с более высокими привилегиями.
Хотя 64-разрядные операционные системы Windows, как правило, защищены от заражения руткитами, поскольку по умолчанию операционная система принимает только файлы подписанных драйверов, ранее были случаи, когда законные цифровые сертификаты хищались хакерами и использовались для подписи драйверов руткитов для обхода программного обеспечения безопасности и защиты Windows. , Антивирусное программное обеспечение также не сильно помогло, потому что червь Stuxnet успешно оставался зараженным на компьютерах в течение многих лет, прежде чем был обнаружен VirusBlokAda, разработчиком антивирусного программного обеспечения VBA32.
Поскольку антивирусное программное обеспечение далеко не идеально подходит для ловли руткитов, мы протестировали 15 специализированных инструментов для борьбы с руткитами и выяснили, способны ли они обнаружить 3 разных кейлоггера (All In One Keylogger, Invisible KeyLogger Stealth, Elite Keylogger) который использует технологию руткита, которую мы установили в нашей тестовой системе.
1. стой! антируткит
Это бесплатный и портативный анти руткит инструмент от avast! устарела и больше не поддерживается с 2008 года, поскольку была интегрирована в их антивирусную программу, но все еще может быть загружена непосредственно со своего сервера. Используя технологию обнаружения руткитов на основе GMER, avast! ANTIROOTKIT удалось обнаружить только в одном кейлоггере All In One, в то время как пропали два других руткит-ключа, основанных на драйвере. Нажав кнопку «Исправить сейчас!», Вы успешно удалили файлы после перезагрузки.
Скачать avast! антируткит
2. AVG Anti-Rootkit
Этот бесплатный инструмент анти-руткит от AVG постигла та же участь, что и avast! потому что он был заброшен с 2006 года из-за интеграции этого антируткита в их антивирусное программное обеспечение. Программа требует установки, перезагрузки и запускается вручную как администратор или отключить UAC для запуска. Результат AVG Anti-Rootkit также не отличается от avast! где только All In One Keylogger обнаружен при отсутствии Elite Keylogger и Invisible KeyLogger Stealth. Кнопка «Удалить выбранные элементы» не удаляет зараженные файлы, а заменяет последний символ расширения файла подчеркиванием, например, с .exe на .ex_
Скачать AVG Anti-Rootkit
3. Средство удаления Bitdefender / Rootkit Remover
Нам не удалось определить, называется ли средство антируткитов Bitdefender «Средство удаления» или «Средство удаления руткитов», потому что название программы и веб-сайт говорят по-разному, когда они представляют собой одно и то же приложение. Утилита для удаления Bitdefender является бесплатной, портативной и актуальной (последнее обновление в феврале 2013 года), но она может обнаруживать только известные руткиты по сигнатурам, но не по необнаруженным. Сканирование занимает всего секунду, чтобы сообщить вам, обнаружены ли какие-либо угрозы руткита. Доступны как 32-битные, так и 64-битные версии. Средство удаления руткитов Bitdefender не может обнаружить все 3 кейлоггера руткитов.
Скачать утилиту для удаления Bitdefender / Rootkit Remover
4. HitmanPro
HitmanPro – это популярный сканер вредоносных программ второго уровня, который сначала использует поведенческий анализ, чтобы определить, является ли файл возможной угрозой, а затем автоматически загружает файл для его сканирования в облаке с 5 различными антивирусами для подтверждения. Хотя HitmanPro является условно-бесплатным программным обеспечением, вы можете использовать его для бесплатного сканирования компьютера, в то время как удаление доступно только в течение 30-дневной пробной версии. All In One Keylogger был обнаружен, потому что Ikarus и G Data указали, что файл является вредоносным. HitmanPro обнаружил, что файлы Elite Keylogger подозрительны, но не были помечены как угроза, поскольку ни один из антивирусов не обнаружил их как вредоносные после сканирования в облаке. Невидимый KeyLogger Stealth вообще не был обнаружен.
Скачать HitmanPro
5. Kaspersky TDSSKiller
Kaspersky TDSSKiller начинал как инструмент для удаления и обнаружения руткитов Alureon / TDSS / TDL, а также стал распознавать несколько других руткитов, включая буткиты. После тестирования Kaspersky TDSSKiller пропустил все 3 кейлоггера руткитов и даже ошибочно обнаружил 3 легитимных системных (.SYS) файла, принадлежащих COMODO Time Machine, как подозрительные объекты со средним риском.
Скачать Kaspersky TDSSKiller
6. Malwarebytes Anti-Rootkit
Malwarebytes Anti-Rootkit – это новый пользователь для обнаружения и удаления руткитов, который все еще находится в состоянии BETA. Он получил много отзывов и огласки, когда был выпущен для публики, потому что все очень надеялись на продукты Malwarebytes.
Неясно, какие варианты руткитов могут быть обнаружены Malwarebytes Anti-Rootkit, поскольку они не упомянуты на их официальном сайте, но не смогли обнаружить ни одного из 3 кейлоггеров руткитов во время тестирования. Очень полезный инструмент под названием «FixDamage», который собирается вместе в файле архива ZIP, можно использовать для исправления повреждений, вызванных руткитом, путем восстановления важных служб Windows.
Скачать Malwarebytes Anti-Rootkit
7. McAfee Rootkit Remover
McAfee Rootkit Remover – очень простая и небольшая (532 КБ) утилита для обнаружения и удаления руткитов семейства ZeroAccess и TDSS. Программа запускается в окне командной строки, автоматически проверяет наличие обновлений и занимает всего несколько секунд для поиска руткитов. Как и ожидалось, McAfee Rootkit Remover не обнаружил все 3 кейлоггера руткитов как угрозу, потому что он может распознавать только 2 типа руткитов, которые были упомянуты ранее.
Скачать McAfee Rootkit Remover
8. Norton Power Eraser
Обычно мы не видим, чтобы Symantec предлагала какие-либо их инструменты бесплатно. Даже для их аварийного диска, известного как Norton Bootable Recovery Tool, требуется действующий ключ продукта. К счастью, есть один инструмент под названием Norton Power Eraser, который можно бесплатно использовать для обнаружения и удаления вредоносных программ, которые скрыты глубоко внутри системы.
Это единственный переносимый исполняемый файл размером всего около 3 МБ. Параметр сканирования руткитов включен по умолчанию в настройках и сначала требует перезагрузки перед выполнением сканирования руткитов. Norton Power Eraser обнаружил кейлоггер All In One и невидимый кейлоггер Stealth. Что касается Elite Keylogger, один из файлов DLL помечен как неизвестный. Кроме этого, он также имел 3 ложных срабатывания, обнаруживая файлы драйвера COMODO Time Machine как небезопасные.
Скачать Norton Power Eraser
9. Trend Micro RootkitBuster
RootkitBuster – это бесплатный инструмент Trend Micro, который может проверять несколько расположений в Windows, таких как основная загрузочная запись (MBR), файлы, записи реестра, исправления кода ядра, перехватчики обслуживания операционной системы, потоки файлов, драйверы, порты, процессы и сервисы для определения наличия руткитов. Последний раз он обновлялся месяц назад и имеет специальные сборки как для 32-разрядных, так и для 64-разрядных.
RootkitBuster удалось обнаружить только один кейлоггер All In One, при этом пропустив другой 2. Он также имеет такое же ложное обнаружение, как Kaspersky TDSSKiller и Norton Power Eraser, ошибочно идентифицировав 3 файла системного драйвера как угрозы.
Загрузить Trend Micro RootkitBuster
10. UnHackMe
UnHackMe – это единственный условно-бесплатный руткит-убийца с возможностями мониторинга, позволяющий автоматически проверять ваш компьютер на предмет возможного заражения руткитами. Пробная версия UnHackMe позволяет использовать ее в течение 30 дней без ограничений. Пользовательский интерфейс программы выглядит достаточно простым для начинающих, и вы даже можете отправить сгенерированный файл отчета regrunlog.txt в их службу поддержки, чтобы получить совет, если вы не до конца уверены, что обнаруженный неизвестный / подозрительный файл действительно является вредоносным.
Есть несколько кнопок, таких как остановка службы, удаление раздела реестра и отключение автозапуска, чтобы помочь отключить подозрительный файл, но мы обнаружили, что наиболее эффективной является «Удалить файл при следующей перезагрузке», если вредоносная программа очень устойчива. UnHackMe нашел All-One Keylogger и Invisible KeyLogger Stealth, но пропустил Элитный Кейлоггер.
Скачать UnHackMe
Как видно из приведенных выше результатов, очень немногим инструментам автоматического обнаружения руткитов удается обнаружить все 3 руткита. Norton Power Eraser сделал все возможное, подтвердив 2 инфекции с 1 неизвестным статусом. Существует еще одна категория утилит для борьбы с руткитами, предназначенная для более опытных пользователей для ручного анализа, выбора и удаления руткитов, которые можно найти на следующей странице.