Rootkit
Rootkits são um tipo de malware cuja principal intenção é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado. Por exemplo, quando o Windows faz um pedido para a leitura ou abertura de um arquivo (seja a mando do antivírus ou pelo proprio usuário), o rootkit intercepta os dados que são requisitados (intercepção via API) e faz uma filtragem dessa informação, deixando passar apenas o código não infectado. Desta forma, o antivírus ou qualquer outra ferramenta ficam impossibilitados de encontrar o arquivo malicioso.
O que é um rootkit?
Um rootkit é um programa com codigo mal intencionado que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.
Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos relacionados.
Rootkits também utilizam-se, muitas das vezes, de drivers, isto é, arquivos de sistema para o funcionamento de hardware, para se esconderem de antivírus, que ao lidarem com essas situações, irão "pensar" que o rootkit é um serviço legítimo do sistema operacional.
Diversos tipos de código mal intencionado utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos. Poucos antivirus hoje conseguem identificar e eliminar essas pragas.
Origem do nome rootkit malware
Os rootkits possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como “root” é o usuário com o controle total do computador nas plataformas, inicialmente só Unix, hoje proliferado em várias plataformas, originou-se o nome “rootkit” para denominar estes conjuntos de aplicativos.
"Definição: Código ou conjunto de códigos usados após ou durante uma invasão a fim de ocultar as ações do invasor no computador da vítima ou rede atacada. Os novos Rootkits envolvem a miscelânea do executável 'Rootkit + Exploits...' Os rootkits mais básicos fazem o seu serviço de um modo "p_enis grosso", ou seja a ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato, já que as possibilidades de um net-usuário experiente + sistema seguro, são quase nulas... Já os ROOTKITS mais elaborados alteram arquivos, têm opções iguais ao comando normal, e até enganam verificadores de arquivos para que eles não possam ser detectados pelo seu código CRC (código que verifica a validade de um arquivo). Mesmo sabendo que o conhecimento está se expandindo por todos os lados na internet, ainda há quem não se preocupe com a segurança digital."
Funcionamento
Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.
No Windows, eles ‘infectam’ os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos desse código mal-intencionado, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.
Nenhum comentário:
Postar um comentário
Obrigado pelo seu comentário.