Что такое Hypersight Rootkit Detector?
Hypersight Rootkit Detector (далее Hypersight RD) — первый в мире детектор руткитов четвертого поколения.
Другими словами, это программа для обнаружения вредоносной активности в
режиме ядра ОС Windows NT.
Продкут прошел тестирование на
Windows 2000, Windows XP и Windows Server 2003. В данный момент программа работает на компьютерах с процессорами, которые поддерживают технологию Intel VT-x (Intel Core 2) или AMD-V.
Более подробно о работе Hypersight RD можно узнать в нашем пресс-релизе.
Для чего мне Hypersight RD?
В последнее время хакеры активно применяют в своих вредоносных программах руткит-технологии.
Эти технологии достаточно сложны, и многие антивирусы просто не способны их полноценно определить. Это позволяет
злоумышленникам перехватывать пароли, финансовую информацию, корпоративные секреты и оставаться незамеченными.
Как правило, подобные типы атак выполняются на заказ, не носят массовый характер. Это создает дополнительное
препятствие для их обнаружения. Несложно представить себе
разочарование пользователя, когда благодаря таким действиям, пропадает крупная сумма со счета или
пропадают важные данные.
Даже сейчас, когда Вы читаете эти строки, есть вероятность, что в Вашем компьютере содержится руткит, который не могут обнаружить обычные антивирусы. Мы рекомендуем установить Hypersight RD для того, чтобы проверить это
и предотвратить возможный
ущерб.
На данный Hypersight RD находится на стадии бета-тестирования.
Руткит — это особый вид вредоносных программ, которые невозможно определить обычным сканированием
файлов. Руткиты маскируют свое присутствие в системе путем
скрытия файлов, процессов, драйверов и т.д.
Более детальное описание доступно в русскоязычной Википедии.
Каким образом происходит определение руткитов?
Программа использует технологию аппаратной виртуализации Intel VT-x. Она работает в режиме гипервизора на процессорах Intel,
поддерживающих эту технологию. При этом операционная система работает в виртуальной машине, а все критические
события в ней контролируются ядром Hypersight RD. Действия, свойственные руткитам, перехватываются Hypersight RD после чего пользователь оповещается о них.
Более подробно с методом определения руткитов Вы можете ознакомиться в нашем пресс-релизе.
Чем мой антивирус отличается от Hypersight RD?
Антивирус, в классическом понимании этого слова,
определяет вредоносные программы в Вашем компьютере по наличию сигнатур. Кроме того, существуют детекторы руткитов,
определяющие присутствие руткитов по их поведению. В их число входит Hypersight
RD.
К сожалению, не все детекторы руткитов способны полноценно определить вредоносный код. Для определения
возможностей Hypersight RD мы провели небольшой эксперимент.
Эксперимент заключался в следующем. На ПК были запущены руткиты Rustock.A и Unreal.A. Затем компьютер был перезагружен. После этого проводился запуск детекторов руткитов (при запуске компьютер перезагружался,
если это было необходимо). Результаты эксперимента приведены в таблице.
|
Детектор руткитов |
Определение Rustock.A |
Определение Unreal.A |
| Rootkit Unhooker 3.31.150.420 |
Определены перехваты, установленные руткитом. Имя файла руткита не определено |
Определены перехваты, установленные руткитом. Имя файла руткита не определено |
| Panda Anti-Rootkit v1.08.00 |
Обнаружен скрытый файл и скрытый ключ в реестре. Определено имя файла руткита |
Руткит не обнаружен |
| Norton Antibot 2.02 |
Руткит не обнаружен |
Руткит не обнаружен |
| McAfee Rootkit Detective 1.0 |
Руткит не обнаружен |
Руткит не обнаружен |
| IceSword 1.22en version for 2000/xp/2003/vista |
Определены перехваты, установленные руткитом. Имя файла руткита не определено |
Определены перехваты, установленные руткитом. Имя файла руткита не определено |
| GMER 1.0.12 |
Определен один из перехватов, установленныx руткитом. Имя файла руткита не определено |
Руткит не обнаружен |
| AVZ 4.25 |
Руткит не обнаружен |
Руткит не обнаружен |
| Hypersight RD 0.1.478 |
Обнаружены перехваты, установленные руткитом. Обнаружены попытки изменения бита CR0.WP при модификации кода. Определено имя файла руткита |
Обнаружены попытки изменения бита CR0.WP при модификации кода. Определено имя файла руткита |
Из эксперимента видно, что определить имена файлов руткитов смог только Hypersight RD. Поскольку именно эта информация требуется для безопасного удаления руткитов с ПК, можно сделать вывод, что в этих тестах Hypersight RD показал наилучший результат.
Hypersight RD перехватывает и блокирует попытки перехода в режим гипервизора. Данный тип активности присущ руткитам,
которые используют аппаратную виртуализацию (Blue Pill, Vitriol). Кроме того, Hypersight RD перехватывает все операции с таблицей
страниц, а также с GDT и IDT, что позволяет обнаруживать руткиты, применяющие стелс-технологии
для скрытия в памяти (руткиты типа Shadow Walker).
ВНИМАНИЕ!
Следует иметь в виду, что некоторые антивирусные программы и средства защиты от
копирования применяют "запрещенные" приемы (установка перехватов системных вызовов, модификация системных структур и
т.д.), которые Hypersight RD квалифицирует
как руткит-активность. Поэтому при обнаружении вредоносной активности программой
Hypersight RD следует просканировать файлы, выводимые в отчете, антивирусным сканером.
В случае же невидимости этих файлов в списках менеджеров файлов (Проводник, Far и
т.д.), можно с большой долей уверенности говорить о заражении руткитом.