Что делать, если AVZ выдал подозрение на RootKit ?

Что делать, если AVZ выдал подозрение на RootKit ?

Previous pageReturn to chapter overviewNext page

В случае, если выдано подозрение на некоторый процесс или файл, то следует действовать по общей схеме ("Что делать, если AVZ обнаружил подозрение на вирус ?"), но перед отправкой файлов желательно прислать протокол работы AVZ - часто по протоколу можно многое объяснить.

Следует понимать, что обнаружение перехвата тех или иных функций еще не означает, что в систему внедрился RootKit - возможно, перехват функций применяется антивирусным монитором, Firewall или иными утилитами. Например, весьма полезная и удобная утилита RegMon устанавливает свой драйвер для перехвата 13-ти функций KiST для слежения за операциями с реестром. По моей статистике примерно в одном случае из 50-80 перехват произведен вредоносной программой, в остальных случаях как правило это антивирусы и Firewall.

В случае обнаружения подозрения на маскировку процесса однозначно следует разобраться, что это за процесс (программа). Обычные программы (не говоря уже о компонентах системы) не прибегают к маскировке своих процессов и файлов, поэтому маскирующийся процесс однозначно подозрителен. Однако однозначно судить о вредоносность нельзя - например, известен ряд безопасных программ, применяющих маскировку процесса и файлов для их защиты от обнаружения и удаления троянскими программами.