Um Rootkit é um dos tipos mais avançados de malware que existem actualmente. Durante anos, as soluções de segurança têm lutado com a detecção e remoção, principalmente porque os rootkits comprometem o sistema operativo a tal nível, que podem esconder a sua presença tanto das soluções anti-malware como do próprio sistema operativo.
O que é um Rootkit e como é que funciona?
O termo Rootkit é uma concatenação das palavras "root", o utilizador mais privilegiado num sistema operativo baseado em Unix e "kit", o conjunto de ferramentas de software que fazem o rootkit. Os rootkits remontam ao início dos anos 90, quando estavam focados em Sun e Linux, mas o surgimento de novos sistemas operativos levou ao desenvolvimento de rootkits para Windows em 1999 e Mac em 2009.
Ao contrário do malware tradicional, os rootkits introduzem uma falha fundamental no computador que infectam. Eles não comprometem ficheiros ou pastas. Em vez disso, alteram tudo o que o sistema operativo lhe reporta de acordo com as necessidades do seu criador.
Os rootkits são divididos em 2 categorias principais, dependendo do seu âmbito de acção: rootkits em modo de utilizador e rootkits em modo de kernel. A fim de ter um vislumbre de como comprometem um sistema operativo, precisamos primeiro de compreender como funciona um sistema operativo. Todas as aplicações no seu computador comunicam através de chamadas de função passadas através da API (Application Programming Interface) do sistema operativo. Um driver de modo de utilizador engancha a tabela de endereços de importação (uma lista de todos os endereços de APIs ou funções do sistema que o programa necessita do kernel do sistema operativo para executar).
Os Kernel-mode rootkits utilizam drivers de sistema que se ligam ao kernel para chamadas API "intermédias" entre as aplicações do utilizador e o próprio sistema operativo. Uma vez instalado, o driver rootkit redirecciona as chamadas de função do sistema para que o seu próprio código seja executado em vez do código do kernel. Assim, quando se abre uma pasta para ver o seu conteúdo, normalmente interroga-se o kernel sobre o número de ficheiros que residem na respectiva pasta. No entanto, um rootkit poderia interceptar o seu pedido e reportar todos os ficheiros da pasta, excepto alguns que são maliciosos. Você, o seu sistema operativo, ou a sua solução anti-malware, nem sequer saberá que alguns ficheiros alguma vez existiram na respectiva pasta.
Ao utilizar um rootkit, um hacker tem privilégios totais de administrador para o seu computador e software, acedendo convenientemente aos registos, monitorizando a sua actividade, roubando informações e ficheiros privados, e desarranjando configurações. Sem o seu conhecimento, todas as suas senhas e informações estarão disponíveis para que possam ser roubadas.
Como é que um Rootkit entra no meu computador?
Mesmo que sejam algumas das ameaças electrónicas mais perigosas até à data, os rootkits não funcionam por si só - precisam de um vector de infecção para se propagarem e instalarem. Os hackers utilizam Trojans ou alavancam as vulnerabilidades do sistema operativo para plantar rootkits. Mas uma vez que tenham conseguido chegar ao sistema, estão muitas vezes a abrigar spyware, worms, keyloggers, ou vírus informáticos que transformam o seu computador num fantoche sem valor. Os hackers podem subsequentemente utilizar rootkits para lançar ataques DoS, spam, e campanhas de phishing sobre terceiros, talvez até sobre os seus contactos. Tendo acesso root ao sistema operativo, o seu computador é completamente tomado por hackers, tornando os rootkits difíceis de detectar imediatamente, mesmo para os olhos da tecnologia mais experiente.
Mas os rootkits nem sempre são maliciosos, pois em alguns casos são utilizados para fins batoteiros, tais como a derrota dos direitos de autor e a protecção anti-roubo. Por outro lado, a Sony e a Lenovo são empresas conhecidas por terem inserido rootkits nos dispositivos dos utilizadores para reinstalar software indesejado ou como parte da gestão de direitos digitais. Embora implantados com intenção inofensiva, estes são vulnerabilidades que facilitam a posterior exploração por parte dos hackers se forem descobertos.
Detecção, remoção, prevenção
A detecção de rootkits é extenuante e pode revelar-se impossível devido ao seu controlo total sobre o seu computador, incluindo sobre qualquer software que possa escolher para remover uma infecção por rootkit. Se for um especialista em tecnologia, há alguns passos que poderá seguir, tais como scan de assinatura ou análise de despejo de memória, mas se o rootkit tiver tomado conta da memória do kernel (também conhecido como o cérebro do seu sistema operativo), então aceite a derrota. Formate o disco rígido e reinstale o seu sistema operativo.
Como já deve ter percebido, os rootkits são tão sofisticados que poderá não conseguir livrar-se deles sem uma reinstalação. De facto, é provável que nem os detecte até ser demasiado tarde, ou que tente executar um scan antivírus, e o rootkit não permite que o seu antivírus comece.
Para evitar perder todos os seus dados, certifique-se de desenvolver alguns hábitos de navegação em linha apropriados:
- Encripte a sua informação privada e assegure-se de fazer cópias de segurança dos seus dados em múltiplas fontes.
- Porque a forma mais comum de um hacker entrar na sua rede são os Trojans, nunca abra anexos de correio electrónico de remetentes de que nunca ouviu falar.
- Se estiver casualmente a transmitir um vídeo ou quiser abrir um ficheiro e lhe for pedido para descarregar um plugin, não o faça.
- Actualize constantemente a sua firewall e solução de segurança, e execute analises periodicamente completas do sistema no seu computador Windows e Mac.