content/pt-br/images/repository/isc/2021/rootkit_image1_710x400px_300dpi.jpg

Definição e significado do Rootkit

Um rootkit é um tipo de malware projetado para dar aos hackers acesso e controle sobre um dispositivo. Embora a maioria dos rootkits afete o software e o sistema operacional, alguns também podem infectar o hardware e o firmware do seu computador. Os Rootkits são especializados em ocultar a sua presença, mas enquanto permanecem escondidos, eles estão ativos.

Uma vez que eles ganham acesso não autorizado a computadores, os rootkits permitem que os criminosos cibernéticos roubem dados pessoais e informações financeiras, instalem malware ou usem os computadores como parte de uma botnet para circular mensagens de spam e participar em ataques DDoS (ataque de negação de serviço).

O nome "rootkit" deriva dos sistemas operacionais Unix e Linux, onde o administrador de contas mais privilegiado é chamado de "root". Os aplicativos que permitem o acesso não autorizado de raiz ou a nível administrativo ao dispositivo são conhecidas como o "kit".

O que é rootkit?

Um rootkit é um software usado por criminosos cibernéticos para obter controle sobre um computador ou rede alvo. Os Rootkits podem por vezes aparecer como uma única peça de software, mas são frequentemente compostos por uma coleção de ferramentas que permitem aos hackers o controle a nível de administrador sobre o dispositivo alvo.

Os hackers instalam rootkits em máquinas alvo de várias maneiras:

  1. O mais comum é através de phishing ou outro tipo de ataque de engenharia social. As vítimas baixam e instalam, inconscientemente, o malware que se esconde dentro de outros processos em execução nas suas máquinas e dão aos hackers o controle de quase todos os aspectos do sistema operacional.
  2. Outra maneira é a exploração de uma vulnerabilidade – ou seja, uma fraqueza no software ou um sistema operacional que não foi atualizado – e forçando o rootkit no computador.
  3. O malware também pode ser incorporado em outros arquivos, como PDFs infectados, mídia pirata ou aplicativos obtidos em lojas suspeitas de terceiros.

Os Rootkits operam perto ou dentro do kernel do sistema operacional, o que lhes dá a capacidade de iniciar comandos para o computador. Qualquer coisa que utilize um sistema operacional é um alvo potencial para um rootkit – que, à medida que a Internet das Coisas se expande, pode incluir itens como o seu refrigerador ou termostato.

Rootkits podem esconder keyloggers, que capturam as suas teclas sem o seu consentimento. Isto facilita aos criminosos cibernéticos roubar as suas informações pessoais, tais como dados de cartão de crédito ou dados bancários online. Rootkits podem permitir que hackers usem seu computador para lançar ataques DDoS ou enviar e-mails de spam. Eles podem até desativar ou remover o software de segurança.

Alguns rootkits são usados para fins legítimos – por exemplo, fornecer suporte remoto de TI ou auxiliar o aplicativo da lei. Na maioria das vezes, porém, são usados para fins maliciosos. O que torna os rootkits tão perigosos são as várias formas de malware que eles podem entregar, que podem manipular o sistema operacional de um computador e fornecer aos usuários remotos acesso administrativo.

Tipos de rootkits

1. Hardware ou rootkit de firmware

Os rootkits de hardware ou firmware podem afetar seu disco rígido, seu roteador ou a BIOS de seu sistema, que é o software instalado em um pequeno chip de memória na placa-mãe do seu computador. Em vez de ter como alvo o sistema operacional, eles visam o firmware do seu dispositivo para instalar malware, que é difícil de detectar. Porque afetam o hardware, permitem aos hackers registrar tudo que você tecla, bem como monitorizar a atividade online. Embora menos comuns que outros tipos, os rootkits de hardware ou firmware são uma grave ameaça à segurança online.

2. Rootkit do carregador de inicialização

O mecanismo do carregador de inicialização é responsável por carregar o sistema operacional em um computador. Os rootkits do carregador de inicialização atacam o sistema, substituindo o carregador de inicialização legítimo do seu computador por um alterado. Isto ativa o rootkit mesmo antes do sistema operacional do seu computador estar totalmente carregado.

3. Rootkit de memória

Os rootkits de memória escondem-se na memória RAM e utilizam os recursos do seu computador para realizar atividades maliciosas em segundo plano. Os rootkits de memória afetam o desempenho da memória RAM do seu computador. Como eles só vivem na RAM do seu computador e não injetam um código permanente, os rootkits de memória desaparecem assim que você reinicia o sistema – embora às vezes não seja tão fácil se livrar deles. A sua curta duração significa que tendem a não ser percebidos como uma ameaça significativa.

4. Rootkit de aplicativos

Os rootkits de aplicativos substituem os arquivos padrão em seu computador por arquivos rootkit e podem até mudar a maneira como os aplicativos padrão funcionam. Estes rootkits infectam programas como o Microsoft Office, Notepad, ou Paint. Os criminosos podem obter acesso ao seu computador cada vez que você executar esses programas. Como os programas infectados ainda rodam normalmente, a detecção de rootkit é difícil para os usuários – mas os programas antivírus podem detectá-los, pois ambos operam na camada do aplicativo.

5. Rootkits em modo Kernel

Os rootkits em modo Kernel estão entre os tipos mais severos desta ameaça, pois visam o núcleo do seu sistema operacional (ou seja, o nível kernel). Os hackers os usam, não só para acessar os arquivos no seu computador, mas também para alterar a funcionalidade do seu sistema operacional, adicionando seu próprio código. 

6. Rootkits virtuais

Um rootkit virtual se instala em segundo plano no sistema operacional do computador. Em seguida, hospeda os sistemas operacionais de destino como uma máquina virtual, o que lhe permite interceptar chamadas de hardware feitas pelo sistema operacional original. Este tipo de rootkit não tem que modificar o kernel para corromper o sistema operacional e pode ser muito difícil de detectar.

Exemplos de Rootkit

Stuxnet

Um dos rootkits mais notórios da história é o Stuxnet, um worm de computador malicioso descoberto em 2010 e acredita-se que está em desenvolvimento desde 2005. O Stuxnet causou danos substanciais ao programa nuclear do Iran. Embora nenhum dos dois países tenha admitido responsabilidade, acredita-se que seja uma arma cibernética criada conjuntamente pelos EUA e Israel, num esforço de colaboração conhecido como os Jogos Olímpicos.

Outros exemplos notáveis de rootkits incluem:

Flame

Em 2012, especialistas em segurança cibernética descobriram o Flame, um rootkit usado principalmente para espionagem cibernética no Oriente Médio. Flame – também conhecido como Flamer, sKyWIper e Skywiper – afeta todo o sistema operacional de um computador, dando-lhe a capacidade de monitorar o tráfego, fazer capturas de tela e áudio e registrar toques no teclado do dispositivo. Os hackers por trás do Flame não foram encontrados, mas pesquisas sugerem que eles usaram 80 servidores em três continentes para acessar computadores infectados.

Necurs

Em 2012, o Necurs surgiu como um rootkit e foi detectado em 83.000 infecções nesse ano. Associado aos criminosos cibernéticos de elite do Leste Europeu, considera-se que o Necurs se destaca devido à sua complexidade técnica e capacidade de evolução.

ZeroAccess

Em 2011, especialistas em segurança cibernética descobriram o ZeroAccess, um rootkit em modo kernel que infectou mais de 2 milhões de computadores em todo o mundo. Ao invés de afetar diretamente a funcionalidade do computador infectado, este rootkit baixa e instala malware na máquina infectada e o torna parte de uma rede de bots mundial utilizada por hackers para realizar ataques cibernéticos. ZeroAccess está ativamente em uso hoje.

TDSS

Em 2008, o rootkit TDSSfoi detectado pela primeira vez. Isto é semelhante aos rootkits do carregador de inicialização porque ele carrega e funciona nos estágios iniciais dos sistemas operacionais – tornando a detecção e remoção um desafio.

Verificação de Rootkit

Como detectar rootkits

Detectar a presença de um rootkit em um computador pode ser difícil, pois este tipo de malware é explicitamente projetado para ficar escondido. Os rootkits também podem desativar o software de segurança, o que torna a tarefa ainda mais difícil. Como resultado, o malware rootkit pode permanecer no seu computador por um longo tempo causando danos significativos.

Possíveis sinais de malware de rootkit incluem:

1. Tela azul

Um grande volume de mensagens de erro do Windows ou telas azuis com texto branco (às vezes chamado de "tela azul da morte"), enquanto seu computador precisa reiniciar constantemente.

2. Comportamento inusitado do navegador

Isto pode incluir indicadores não reconhecidos ou redirecionamento de links.

3. Desempenho lento do dispositivo

O seu aparelho pode demorar algum tempo para começar e funcionar lentamente ou congelar frequentemente. Também pode não responder à entrada do mouse ou do teclado.

4. As configurações do Windows mudam sem permissão

Exemplos podem incluir a mudança do seu protetor de tela, a barra de tarefas se escondendo, ou a exibição incorreta de data e hora – quando você não tiver mudado nada.

5. As páginas da web não funcionam corretamente

As páginas web ou atividades de rede aparecem intermitentes ou não funcionam corretamente devido ao tráfego excessivo na rede.

Uma verificação de rootkit é a melhor maneira de detectar uma infecção por rootkit, que a sua solução antivírus pode iniciar. Se você suspeitar de um vírus rootkit, uma maneira de detectar a infecção é desligar o computador e executar a verificação a partir de um sistema limpo conhecido.

A análise comportamental é outro método de detecção de rootkit. Isso significa que ao invés de procurar pelo rootkit, você procura por comportamentos semelhantes aos do rootkit. Enquanto as varreduras direcionadas funcionam bem se você souber que o sistema está se comportando de forma estranha, uma análise comportamental pode alertá-lo para um rootkit antes que você perceba que está sob ataque.

Como se livrar do rootkit

A remoção de um rootkit é um processo complexo e normalmente requer ferramentas especializadas, como o utilitário TDSSKiller da Kaspersky, que pode detectar e remover o rootkit TDSS. Às vezes a única maneira de eliminar completamente um rootkit bem escondido é apagar o sistema operacional do seu computador e reconstruir do zero.

Como remover rootkit do Windows

No Windows, a remoção normalmente envolve a execução de uma varredura. Se houver uma infecção profunda, a única maneira de remover o rootkit é reinstalando o Windows. É melhor fazer isso através de um dispositivo de mídia externa em vez de usar o instalador do Windows embutido. Alguns rootkits infectam a BIOS, o que exigirá um reparo para consertar. Se você ainda tiver um rootkit após um reparo, você pode precisar de um novo PC.

Como remover o rootkit do Mac

Em um Mac, mantenha-se atualizado com os novos lançamentos. As atualizações do Mac não apenas adicionam novas funcionalidades – elas também removem malware, incluindo rootkits. A Apple tem recursos de segurança incorporados para proteger contra malware. No entanto, não há detectores de rootkit conhecidos no macOS, então se você suspeitar de um rootkit no seu dispositivo, você deve reinstalar o macOS. Fazendo isso, remove a maioria dos aplicativos e rootkits em sua máquina. Como acima, se o rootkit infectou a BIOS, será necessário um reparo para consertar – e se o rootkit permanecer, você pode precisar comprar um novo dispositivo.

Como prevenir os rootkits

Como os rootkits podem ser perigosos e difíceis de detectar, é importante permanecer vigilante ao navegar na internet ou ao fazer download de programas. Muitas das mesmas medidas de proteção que você toma para evitar vírus de computador também ajudam a minimizar o risco de rootkits:

1. Use uma solução de segurança cibernética abrangente

Seja proativo na segurança dos seus dispositivos e instale uma solução antivírus abrangente e avançada. OKaspersky Total Security oferece proteção total contra ameaças virtuais e também permite que você execute varreduras de rootkit.

2. Mantenha-se atualizado

Atualizações contínuas de software são essenciais para manter-se seguro e evitar que os hackers o infectem com malware. Mantenha todos os programas e seu sistema operacional atualizados para evitar ataques de rootkit que tirem proveito das vulnerabilidades.

3. Esteja atento a golpes de phishing

Phishing é um tipo de ataque de engenharia social em que os golpistas usam o e-mail para enganar os usuários a fornecer-lhes suas informações financeiras ou baixar softwares maliciosos, tais como rootkits. Para evitar a infiltração de rootkits no seu computador, evite abrir e-mails suspeitos, especialmente se o remetente não estiver familiarizado com você. Se você não tem certeza se um link é de confiança, não clique nele.

4. Baixe arquivos somente de fontes confiáveis

Tenha cuidado ao abrir anexos e evite abrir anexos de pessoas que você não conhece para evitar que o rootkit seja instalado no seu computador. Baixe o software apenas de sites respeitáveis. Não ignore os avisos do navegador quando ele lhe informa que um site que você está tentando visitar não é seguro. 

5. Esteja atento ao comportamento ou desempenho do seu computador

Questões comportamentais podem indicar que um rootkit está em funcionamento. Fique atento a quaisquer mudanças inesperadas e tente descobrir porque é que estas estão a acontecer.

Os Rootkits são um dos tipos de malware mais desafiadores de encontrar e remover. Por serem difíceis de detectar, a prevenção é muitas vezes a melhor defesa. Para garantir proteção contínua, continue aprendendo sobre as últimas ameaças à segurança cibernética.

Artigos relacionados:

O que é o Rootkit – Definição e Explicação

O que é rootkit? O malware Rootkit dá aos hackers controle sobre os computadores das vítimas. Aprenda como detectar rootkits, como evitar rootkits e como se livrar de rootkits.
Kaspersky Logo