O que é Rootkit? Como funcionam os rootkits? Rootkits explicado.

Embora seja possível ocultar malware de uma forma que enganará até mesmo os produtos antivírus / antispyware tradicionais, a maioria dos programas de malware já usa rootkits para se esconder profundamente em seu PC com Windows ... e eles estão se tornando mais perigosos! O rootkit DL3 é um dos rootkits mais avançados já vistos na natureza. O rootkit era estável e podia infectar sistemas operacionais Windows de 32 bits; embora direitos de administrador fossem necessários para instalar a infecção no sistema. Mas TDL3 agora foi atualizado e agora é capaz de infectar até mesmo as versões de 64 bits do Windows!

O que é Rootkit

Um vírus rootkit é um tipo de malware furtivo projetado para ocultar a existência de certos processos ou programas em seu computador de métodos de detecção regulares, de modo a permitir que ele ou outro processo malicioso tenha acesso privilegiado ao seu computador.

Rootkits para Windows são normalmente usados ​​para ocultar software malicioso de, por exemplo, um programa antivírus. É usado para fins maliciosos por vírus, worms, backdoors e spyware. Um vírus combinado com um rootkit produz o que é conhecido como vírus totalmente furtivos. Os rootkits são mais comuns no campo do spyware e agora também estão se tornando mais comumente usados ​​por autores de vírus.

Eles agora são um tipo emergente de Super Spyware que se esconde de maneira eficaz e impacta diretamente o kernel do sistema operacional. Eles são usados ​​para esconder a presença de objetos maliciosos como cavalos de Tróia ou keyloggers em seu computador. Se uma ameaça usa a tecnologia de rootkit para se esconder, é muito difícil encontrar o malware no seu PC.

Os rootkits em si não são perigosos. Seu único propósito é esconder o software e os rastros deixados para trás no sistema operacional. Se este é um software normal ou programas de malware.

Existem basicamente três tipos diferentes de Rootkit. O primeiro tipo, o “Rootkits de kernel”Geralmente adicionam seu próprio código a partes do núcleo do sistema operacional, enquanto o segundo tipo, o“Rootkits de modo de usuário”São especialmente direcionados ao Windows para inicializar normalmente durante a inicialização do sistema, ou injetados no sistema por um chamado“ Dropper ”. O terceiro tipo é Rootkits ou bootkits MBR.

Quando você descobrir que o seu AntiVirus e AntiSpyware está falhando, você pode precisar da ajuda de um bom utilitário anti-rootkit. RootkitRevealer de Microsoft Sysinternals é um utilitário avançado de detecção de rootkit. Sua saída lista discrepâncias de API de registro e sistema de arquivos que podem indicar a presença de um rootkit de modo de usuário ou kernel.

Relatório de ameaças do Microsoft Malware Protection Center sobre rootkits

O Microsoft Malware Protection Center disponibilizou para download seu Relatório de ameaças em rootkits. O relatório examina um dos tipos mais traiçoeiros de malware que ameaça organizações e indivíduos hoje - o rootkit. O relatório examina como os invasores usam rootkits e como funcionam os rootkits nos computadores afetados. Aqui está a essência do relatório, começando com o que são Rootkits - para o iniciante.

Rootkit é um conjunto de ferramentas que um invasor ou criador de malware usa para obter controle sobre qualquer sistema exposto / inseguro que normalmente é reservado para um administrador de sistema. Nos últimos anos, o termo 'ROOTKIT' ou 'FUNCIONALIDADE ROOTKIT' foi substituído por MALWARE - um programa projetado para ter efeitos indesejáveis ​​em um computador saudável. A principal função do malware é retirar dados valiosos e outros recursos do computador de um usuário secretamente e fornecê-los ao invasor, dando-lhe assim controle total sobre o computador comprometido. Além disso, eles são difíceis de detectar e remover e podem permanecer ocultos por longos períodos, possivelmente anos, se passarem despercebidos.

Então, naturalmente, os sintomas de um computador comprometido precisam ser mascarados e levados em consideração antes que o resultado seja fatal. Particularmente, medidas de segurança mais rigorosas devem ser tomadas para descobrir o ataque. Mas, como mencionado, uma vez que esses rootkits / malware são instalados, seus recursos furtivos tornam difícil removê-lo e seus componentes que ele pode baixar. Por esse motivo, a Microsoft criou um relatório sobre ROOTKITS.

O relatório de 16 páginas descreve como um invasor usa rootkits e como esses rootkits funcionam nos computadores afetados.

O único objetivo do relatório é identificar e examinar de perto malware potente que ameaça muitas organizações, usuários de computador em particular. Ele também menciona algumas das famílias de malware predominantes e traz à luz o método que os invasores usam para instalar esses rootkits para seus próprios fins egoístas em sistemas saudáveis. No restante do relatório, você encontrará especialistas fazendo algumas recomendações para ajudar os usuários a mitigar a ameaça de rootkits.

Tipos de Rootkits

Existem muitos lugares onde o malware pode se instalar em um sistema operacional. Portanto, principalmente o tipo de rootkit é determinado por sua localização onde realiza sua subversão do caminho de execução. Isso inclui:

1. Rootkits do modo de usuário
2. Rootkits do modo kernel
3. Rootkits / bootkits MBR

O possível efeito de um comprometimento do rootkit no modo kernel é ilustrado por meio de uma captura de tela abaixo.

O terceiro tipo, modifica o Registro Mestre de Inicialização para obter o controle do sistema e iniciar o processo de carregamento o mais cedo possível na sequência de inicialização3. Ele oculta arquivos, modificações de registro, evidências de conexões de rede, bem como outros possíveis indicadores que podem indicar sua presença.

Famílias de malware notáveis ​​que usam a funcionalidade Rootkit

• Win32 / Sinowal13 - Uma família de múltiplos componentes de malware que tenta roubar dados confidenciais, como nomes de usuário e senhas para diferentes sistemas. Isso inclui a tentativa de roubar detalhes de autenticação para uma variedade de contas de FTP, HTTP e e-mail, bem como credenciais usadas para banco online e outras transações financeiras.
• Win32 / Cutwail15 - Um Trojan que baixa e executa arquivos arbitrários. Os arquivos baixados podem ser executados do disco ou injetados diretamente em outros processos. Embora a funcionalidade dos arquivos baixados seja variável, Cutwail geralmente baixa outros componentes que enviam spam. Ele usa um rootkit em modo kernel e instala vários drivers de dispositivo para ocultar seus componentes dos usuários afetados.
• Win32 / Rustock - Uma família de Trojans de backdoor habilitados para rootkit com vários componentes, inicialmente desenvolvida para ajudar na distribuição de e-mail de “spam” por meio de um botnet. Um botnet é uma grande rede de computadores comprometidos controlada por um atacante.

Proteção contra rootkits

Impedir a instalação de rootkits é o método mais eficaz para evitar a infecção por rootkits. Para isso, é necessário investir em tecnologias de proteção como produtos antivírus e firewall. Tais produtos devem ter uma abordagem abrangente para proteção usando detecção tradicional baseada em assinatura, detecção heurística, capacidade de assinatura dinâmica e responsiva e monitoramento de comportamento.

Todos esses conjuntos de assinaturas devem ser mantidos atualizados usando um mecanismo de atualização automática. As soluções antivírus da Microsoft incluem uma série de tecnologias projetadas especificamente para mitigar rootkits, incluindo monitoramento de comportamento do kernel ativo que detecta e relata tentativas de modificar o kernel de um sistema afetado e análise direta do sistema de arquivos que facilita a identificação e remoção de drivers ocultos.

Se um sistema for encontrado comprometido, uma ferramenta adicional que permite que você inicialize em um ambiente conhecido ou confiável pode ser útil, pois pode sugerir algumas medidas de correção apropriadas.

Sob tais circunstâncias,

1. A ferramenta Standalone System Sweeper (parte do Microsoft Diagnostics and Recovery Toolset (DaRT)
2. O Windows Defender Offline pode ser útil.

Para obter mais informações, você pode baixar o relatório em PDF do Centro de Download da Microsoft.