O que é um rootkit?
Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.
Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos do trojan.
Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos. Muitos antivirus hoje conseguem identificar e eliminar essas pragas.
Origem do nome rootkit
Os rootkits possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como “root” é o usuário com o controle total do computador nas plataformas, inicialmente só Unix, hoje proliferado em várias plataformas, originou-se o nome “rootkit” para denominar estes conjuntos de aplicativos.
“Definição: Código ou conjunto de códigos usados após ou durante uma invasão a fim de ocultar as ações do invasor no computador da vítima ou rede atacada. Os novos Rootkits envolvem a miscelânea do executável ‘Rootkit + Exploits…’ Os rootkits mais básicos fazem o seu serviço de um modo “curto e grosso”, ou seja a ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato, já que as possibilidades de um net-usuário experiente + sitema seguro, são quase nulas… Já os ROOTKITS mais elaborados alteram arquivos, têm opções iguais ao comando normal, e até enganam verificadores de arquivos para que eles não possam ser detectados pelo seu código CRC (código que verifica a validade de um arquivo). Mesmo sabendo que o conhecimento está se expandindo por todos os lados na internet, ainda há quem não se preocupe com a segurança digital.”
Funcionamento
Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.
No Windows, eles ‘infectam’ os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.
O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.
Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.
Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos do trojan.
Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos. Muitos antivirus hoje conseguem identificar e eliminar essas pragas.
Origem do nome rootkit
Os rootkits possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como “root” é o usuário com o controle total do computador nas plataformas, inicialmente só Unix, hoje proliferado em várias plataformas, originou-se o nome “rootkit” para denominar estes conjuntos de aplicativos.
“Definição: Código ou conjunto de códigos usados após ou durante uma invasão a fim de ocultar as ações do invasor no computador da vítima ou rede atacada. Os novos Rootkits envolvem a miscelânea do executável ‘Rootkit + Exploits…’ Os rootkits mais básicos fazem o seu serviço de um modo “curto e grosso”, ou seja a ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato, já que as possibilidades de um net-usuário experiente + sitema seguro, são quase nulas… Já os ROOTKITS mais elaborados alteram arquivos, têm opções iguais ao comando normal, e até enganam verificadores de arquivos para que eles não possam ser detectados pelo seu código CRC (código que verifica a validade de um arquivo). Mesmo sabendo que o conhecimento está se expandindo por todos os lados na internet, ainda há quem não se preocupe com a segurança digital.”
Funcionamento
Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.
No Windows, eles ‘infectam’ os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.
O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.
Comentários
Postar um comentário