O que são Rootkits e como Enfrentá-los

13 jun 2013

Profissionais e entusiastas da área de segurança já sabem o que são rootkits, os usuários comuns desconhecem este tipo de malware que foi desenvolvido especificamente para esconder a si mesmo e a sua atividade no sistema infectado. Mais uma dos cibercriminosos que estão constantemente desenvolvendo novos métodos para roubar sua informação.

rootkit_title

A capacidade de se esconder permite que este tipo de malware permaneça no sistema da vítima por meses, as vezes até anos, deixando que um hacker use o computador para o que bem entender. Mesmo uma máquina que não contém informações valiosas, o que é pouco comum, pode ser útil para produzir bitcoins (moeda digital), enviar spam e participar de ataques DDoS. A funcionalidade rootkit permite que os hackers escondam suas atividades criminosas não apenas de ferramentas de monitoramento embutidas no OS, mas de sensores de antivírus também. Por isso sugerimos que você procure a função anti-rootkits em seus sitemas antivirus e segurança web.

A habilidade de se esconder permite que este tipo de malware permaneça no sistema da vítima por meses ou até anos, possibilitando que hackers usem o sistema para o que bem entender.

O que torna um rootkit invisível? O malware integra seu código ao sistema operativo e intercepta todas as solicitações comuns de leitura de arquivo, obtendo uma lista de todos os processos ativos. Um rootkit processa essas solicitações e armazena qualquer menção de arquivos, processos e outros vestígios relacionados com a sua atividade. Outras técnicas também podem ser utilizadas, por exemplo: um rootkit pode inserir seu código em um processo legítimo e usar a memória do processo para fazer seu trabalho sujo.  Isso faz com que o rootkit permaneça invisível para as soluções antivirus menos avançadas, que operam no nível superficial das solicitações OS e não tenta se aprofundar em outras estruturas do hardware.

Caso o antivirus detecte um rootkit ,o malware pode tentar desativar a proteção e deletar alguns componentes delicados da solução. Os rootkits mais avançados usam técnicas de bode expiatório, criam arquivos irrelevantes especialmente para que sejam identificados pelo antivirus, quando o software acessa o arquivo o rootkit tenta derrubá-lo e impedir futuras execuções.

Como você pode evitar esta confusão? Primeiro de tudo, identificando qualquer atividade suspeita, seu antivirus deve monitorar a fundo os arquivos do sistema para capturar os malwares que tentarem modificar o disco rígido. É possível detectar rootkits que continuam não identificados por seu antivirus apenas comparando as atividades do sistema operacional de seu computador com os resultados do monitoramento de baixo nível.  Também é crucial ter uma proteção antivirus potente para que o malware não consiga desativá-la. Por último, mas não menos importante, um antivirus deve remover 100% dos componentes rootkit, inclusive aqueles inseridos em arquivos delicados do sistema operativo.

Então garanta uma proteção que cubra estas necessidades antes de dizer ” Eu sei o que um rootkit é, tenho certeza que minha solução antivirus me protege desta ameaça.”