Общаясь с клиентами, периодически, мне приходится сталкиваться с необходимостью поиска популярного объяснения для таких терминов как: БУТКИТ и РУТКИТ. Как  правило, попытка такое объяснение дать, превращается в поток профессиональных терминов, которые приводят  неподготовленного человека в недоумение. В результате это подвигло меня на написание статьи, которая рассчитана на обыкновенного пользователя, не пестрит двоичным кодом и не претендует на полноту анализа и описания процессов.
 

              Итак, БУТКИТ  -  это вредоносная программа способная загружаться до операционной системы windows.  При этом она обладает способностью блокировать работу антивирусных программ, поскольку загружается до них.. С точки зрения разработчиков БУТКИТА  все должно выглядеть следующим образом:  Ваш антивирусный пакет сообщает что все в порядке, система работает нормально, только иногда замедляется обмен с Интернетом.

             А в это время..., на ваш компьютер с различных сайтов устанавливается вредоносное программное обеспечение.Основная задача БУТКИТА — получение с сервера команд на скачивание и запуск других вредоносных программ СНИФФЕРОВ,СКАНЕРОВ, КЕЙЛОГЕРОВ, РУТКИТОВ итп. При этом для отправки HTTP-запросов используется процесс браузера Internet Explorer, запускаемый в скрытом окне, т.е. на экране вы его не видите. Зашифрованный файл конфигурации БУТКИТА загружается с сервера  и сохраняется у вас на диске.

            РУТКИТ -  на самом деле это не вирус а по сути ФРЕЙМВОРК ( framework — каркас) программная среда, облегчающая разработку и объединение различных компонентов большого программного проекта. Вышесказанное означает, что РУТКИТ для обеспечения своей последующей автозагрузки заражает системный драйвер, обслуживающий физический диск, на котором установлена операционная система Windows. В дальнейшем РУТКИТ  скрывает все изменения в системе и осуществляет внедрение компонентов пользовательского режима в процессы согласно своему файлу конфигурации. По сути, он оказывается между вами и системой, как бы ее собой подменяя. 

               Основная задача РУТКИТА  -  постановка вашего компьютера под полный контроль злоумышленников  и введение его в состав  так называемого БОТНЕТа ( botnet от robot и network, сеть роботов) которые используются для деятельности нелегальной или преступной — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании и т.п. Подобная деятельность требует большого количества анонимных вычислительных ресурсов.  В настоящий момент, это серьезный бизнес с оборотом в сотни миллионов долларов в год.  Современный РУТКИТ умеет не только успешно противостоять большинству антивирусных программ, но и способен самостоятельно обновляться, отслеживая их развитие.

              Еще одной особенностью РУТКИТА, является аспект, на прямую с программированием не связанный, однако, на мой взгляд  имеющий важнейшее значение для понимания масштаба угрозы. Это принцип партнерской программы. Большинство БОТНЕТОВ оказываются связаны с той или иной партнёрской программой. Например, БОТНЕТ TDSS — возможно, самый крупный на сегодняшний день. Распространение вредоносной программы, обеспечивающей функционирование данного ботнета, осуществляется партнёрской программой «Dogma Millions»                                                

                 На сайте программы описаны правила работы и условия для партнёров. После регистрации партнёру доступен для загрузки бинарный файл РУТКИТА TDSS, подлежащий распространению любыми удобными способами за комиссионное вознаграждение!

Партнёрам предоставляется удобная статистика по заражённым с их помощью компьютерам и количеству заработанных им комиссионных. Кроме того предоставляются ссылки  на целевые страницы для заражения посетителей, на которые можно направлять поисковой трафик самых различных тематик, от «клубнички» до ухода за животными. Владельцы этого бизнеса зарабатывают на предоставлении своим клиентам вычислительных возможностей БОТНЕТА, а партнеры на том, что помогают его создавать. По этому, не стоит думать что ваш домашний компьютер не представляет интереса для злоумышленников. Кроме того, персонаж появившийся по приклеенному к вашему подъезду объявлению вполне может оказаться «Партнером»…

                 Точно сказать, справиться ли ваш антивирус с конкретным РУТКИТОМ или БУТКИТОМ нельзя, потому что и те и другие развиваются, однако, как правило, защита в силу объективных причин всегда несколько отстает.