Diz o ditado popular que “prevenir é melhor do que remediar”. Esse pensamento nunca foi muito aplicado pelos usuários de computadores, principalmente os “experts”, que pensam que uma infecção de vírus pode ser resolvida facilmente com uma reformatação do HD. Mas isso mudou com os rootkits. Essas pragas ainda podem ser apagadas com uma formatação, mas como você sabe que está infectado?
A maioria dos vírus, principalmente os mais antigos, podem ser notados facilmente pelo usuário. Programas param de funcionar, arquivos aumentam de tamanho, janelas estranhas são exibidas na tela, entre diversos sintomas que caracterizam uma infecção. Os rootkits, por outro lado, possuem apenas um objetivo: passarem completamente despercebidos pelo usuário.
Rootkits podem esconder chaves no registro, processos e pastas. No Windows, rootkits funcionam por meio da “interceptação de API” — quando um programa pede para o Windows listar uma pasta, por exemplo, o rootkit intercepta a chamada e “filtra” os resultados da listagem da pasta, removendo qualquer referência aos arquivos do rootkit.
Detectores de rootkit, como o RootkitRevealer, “pedem” para o Windows a lista de todos os arquivos no disco rígido (usando a API, que é interceptada) e depois fazem a listagem eles mesmos, usando uma programação de baixo nível sem usar a ajuda do Windows.
Os resultado da listagem do Windows (que foi filtrada pelo rootkit) e a da listagem de baixo nível (que o rootkit não interceptou) são comparados. As diferenças possivelmente são os arquivos maliciosos.
Mas o que acontece se o rootkit identificar o programa detector e não interceptar as chamadas ao Windows? O rootkit não será detectado, pois as duas listagens serão idênticas. Alguns rootkits já aplicam essa técnica: oHacker Defender possui versões pagas que incluem a identificação de detectores de rootkit, tornando o rootkit praticamente indetectável por essas ferramentas.
A maioria dos rootkits, felizmente, não utiliza técnicas tão avançadas e pode ser facilmente localizada por meio desses detectores.
A remoção do rootkit, por outro lado, pode ser outro problema: nunca é possível saber se todos os arquivos do rootkit foram removidos e sempre podem haver restos que reinstalarão a praga com o tempo.
Embora atualmente os rootkits sejam principalmente usados por bots, como variantes do Rbot/Agobot, a situação ficará ainda pior quando keyloggers — os cavalos-de-tróia que roubam senhas e contas de banco — começarem a se utilizar em massa dessa tecnologia. Os usuários poderão ser roubados sem que saibam sequer que há algo errado em seu sistema.
Como a maioria dos antivírus ainda não possui uma função para detectar rootkits (o F-Secure é atualmente o único) e a grande maioria dos usuários ainda não adotou detectores de rootkit, a melhor maneira de se livrar deles é não contraí-los.
Rootkits são instalados por páginas maliciosas na web e por worms que exploram falhas no Windows. Por isso é fundamental manter o sistema atualizado. Mas mesmo os sistemas atualizados ainda têm problemas: a Microsoft divulgou estatísticas de sua ferramenta de remoção de malware, que é executada automaticamente por todos aqueles que rodam o Windows Update ou as atualizações automáticas, e revelou que 20% das pragas encontradas no Windows XP SP2 são rootkits.
Como a Microsoft afirma que a maioria dos rootkits é instalada por bots, é possível que esses bots venham de arquivos maliciosos em redes P2P, geralmente relacionados à pirataria. Para a prevenção de rootkits, portanto, é necessário também o cuidado com os arquivos obtidos em redes P2P. É sempre recomendável que você faça o download de programas apenas seguindo links de sites confiáveis e evite o download de cracks — utilitários usados para gerar seriais e ‘piratear’ programas pagos — e outros softwares duvidosos (tais como geradores de crédito).
Se for possível, execute o sistema com um usuário limitado. Rootkits só funcionam nas versões NT, 2000, XP e 2003 do Windows e todas elas possibilitam a criação de restrições na conta do usuáriom como por exemplo, proibir a leitura ou escrita de certos arquivos ou chaves do registro. Essas restrições podem negar o acesso do rootkit aos recursos que ele precisa para ser instalado, inviabilizando a instalação e fazendo com que ele seja removido na próxima reinicialização sem qualquer ação do usuário.
Se o sistema estiver desatualizado, por outro lado, o rootkit poderá explorar uma falha no Windows para obter o acesso que precisa e ser instalado assim mesmo.
Embora o perigo ainda seja pequeno hoje, não vale a pena esperar: aposte sempre na prevenção. Você não está se prevenindo dos rootkits porque sua remoção é complicada, mas sim porque é difícil detectá-los sem o uso de ferramentas adicionais. Mas não há motivo para pânico: evitar rootkits é uma tarefa fácil, mas, para aqueles que não estão armados com a arma mais poderosa, que é a informação, até mesmo a tarefa mais trivial no mundo da segurança pode se tornar impossível.
http://linhadefensiv...vencao-solucao/ (vá aqui para ter acesso os demais links downloads etc)
Esse rootkits é novo na área? É parecido como spyware?
