ROOTKIT

Поняття руткіт
• Руткіт — це частина програмного забезпечення,
яка виконує дві функції: надавати привілейований
доступ і залишатися непоміченим.

• Слово «rootkit» є поєднанням складових слів «root»

з Unix/Linux, що означає «привілейований доступ»,
і «kit», що стосується набору інструментів.
 Компоненти руткіт
• Dropper — це файл або програма, яка встановлює руткіт.

• Завантажувач: це зловмисний код, який запускається під час запуску дроппера.

• Руткіт: сам руткіт, для функціонування якого потрібні вищевказані компоненти.

Рівні руткітів
Поширення руткітів
Щоб руткіт поширювався на комп’ютері, його
потрібно встановити або ін’єктувати. Є три різні
способи таємного ін’єктування руткітів на
комп’ютері:

• Комбінація (Piggybacking):

• Змішана загроза:

• Заражені мобільні програми

 Ознаки зараження
Зловмисне програмне забезпечення залишає за собою помітні ознаки своєї присутності, зокрема:

 Створення процесів
 Наявність дивних супровідних файлів
 Поява певних підозрілих ключів реєстру
 Зміни у використанні дискового простору та ЦП
 Типи руткітів
Існує чотири різні типи руткітів, класифіковані
на основі методу зараження комп’ютерів.

• Руткіт режиму ядра (Kernel mode rootkit

(KMR))

• Режим користувача/програма

• Прошивка

• Буткіти
Один із перших руткітів, розроблених Sony/BMG, XCP, був виявлений дослідником ІТ-безпеки
Марком Руссіновичем 31 жовтня 2005 року. Незважаючи на те, що руткіт був розроблений, щоб
запобігти копіювання музичних файлів із компакт-дисків Sony/BMG для піратства через Інтернет,
руткіт також створив незліченні вразливості, якими могли скористатися більш поширені типи
зловмисних програм із руйнівними наслідками.

У листопаді 2012 року ще один руткіт Linux був гарячою темою у світі технічних медіа. Він
націлений на серверні дистрибутиви Linux, засновані на Debian. Конкретна версія ядра Linux, яку
він використовував, була 2.6.32-5-amd64.

Інфікуючи веб-сервери на основі 2.6.32-5-amd64, руткіт генерує HTML-код з тегом <iframe> на

веб-сторінках за допомогою PHP. Нові теги <iframe> перенаправляють веб-серферів на шкідливі
веб-сторінки, які можуть виконувати функції шкідливого шпигунського програмного
забезпечення або заражати комп’ютери ще більш руйнівним шкідливим програмним
забезпеченням.