Entre os vários tipos de pragas digitais encontra-se um tipo especial: os rootkits. O propósito deles, no Windows, é “defender” os demais códigos maliciosos (vírus, cavalos de troia, worms) que são instalados, tornando-os “invisíveis”. Com isso, as ferramentas de proteção e remoção não conseguem realizar seu trabalho, e as pragas ficam por mais tempo no computador da vítima.
Mais do que isso, porém, é o “comportamento” de rootkit. Além de vírus, programas considerados legítimos usam as mesmas técnicas que os rootkits, muitas vezes com o intuito se “defender” do próprio usuário ou de mecanismos de segurança indesejados. Conheça esses programas complexos e saiba como e por quem são usados.
O termo “rootkit” tem origem em kits de códigos maliciosos para sistemas Unix (como Linux, BSD e outros). São programas cuja função se realiza após uma invasão de sistema, usados pelo hacker para manter acesso remoto não autorizado ao sistema que foi invadido, escondendo a invasão e os programas maliciosos deixados.
Para que o dono do computador não suspeite da existência de um programa que dá a um hacker o controle do sistema, os programas do “kit” do rootkit substituem componentes do sistema operacional. Com isso, sempre que o responsável tentar listar arquivos, pastas e programas na inicialização, qualquer menção ao software malicioso é retirada, garantindo que o hacker não seja detectado, nem perca seu acesso.
As primeiras tentativas de esconder a presença do invasor em um sistema invadido datam pelo menos de 1989, quando o código fonte de um programa capaz de esconder os logins das contas de usuário comprometidas começou a circular. O Linux, por sua vez, foi alvo de rootkits avançados já em 1996, com o lançamento do “Linux Rootkit 3” (lrk3).
O chkrootkit é um programa que detecta rootkits em sistemas Unix. Mais de 60 tipos diferentes de códigos maliciosos são detectados, alguns deles não exatamente rootkits. Os principais desenvolvedores da ferramenta são brasileiros. O criador, Nelson Murilo, participa do podcast
No Windows, os códigos que tentam ficar invisíveis (e esconder outros vírus) também receberam o nome de “rootkits”. Mas isso só em 1999, pela mão de Greg Hoglund, que publicou o “NT Rootkit”.
O NT Rootkit faz com que um arquivo malicioso simplesmente desapareça de qualquer listagem. No Gerenciador de Tarefas do Windows, o processo não está lá. Esse sintoma é comum a todos os rootkits. O que muda é como esse resultado é obtido.
Mas também é errado dizer que até 1999 os vírus para sistemas Microsoft não tentavam se esconder. Junto com os rootkits para sistemas Unix, os vírus para MS-DOS, lá por 1990, também tentavam interceptar os comandos de sistema para remover qualquer informação que poderia indicar a presença de uma infecção. Embora, em princípio, as técnicas usadas para se esconder sejam semelhantes, no Windows a situação é bem diferente da do MS-DOS.
Os rootkits para Windows usam técnicas tão avançadas que ainda hoje muitos antivírus têm problemas para detectar e identificar alguns vírus – o que nunca acontece, no mes
