Os “rootkits” para Linux são “kits” porque normalmente vêm com programas substitutos para os comandos mais comuns do Linux. Por exemplo, o comando que lista arquivos é o “ls”. O rootkit substitui o programa “ls” e retira qualquer referência aos códigos maliciosos armazenados no disco, impedindo que os administradores detectem a presença do vírus. O mesmo acontece com os comandos que listam processos e outras funções do sistema.
No Windows, o rootkit não é um “kit”, mas mantém o espírito dos códigos para Linux: ele tenta, a todo custo, esconder sua presença.
Os rootkits para Windows normalmente se inserem na memória de tal forma que as funções do próprio sistema operacional ficam “grampeadas”. É uma técnica chamada de “API Hook”. Quando um programa solicita os arquivos de uma determinada pasta, por exemplo, o Windows faz a listagem, mas, antes de dar os resultados ao programa solicitante, o rootkit pode ler o que foi gerado. No caso de haver algum arquivo que pertence ao código malicioso, ele é retirado.
Essa técnica pode se estender a diversos pontos. Um rootkit pode, por exemplo, grampear as funções de rede. Isso permite que ele opere em qualquer porta e tipo de conexão.
Rootkits são perigosos e problemáticos. São perigosos porque, quando sofisticados, são muito difíceis de serem detectados após instalados. São problemáticos porque são difíceis de programar. Pequenos erros na programação de um rootkit podem gerar erros graves no sistema, como travamentos, congelamentos e “telas azuis da morte”.
Existem programas específicos para detectar rootkits. Um exemplo de programa gratuito é o GMER. Os rootkits são bem difíceis de detectar, mesmo com as ferramentas adequadas. Os mais sofisticados são indetectáveis, exceto por quem possui um grande conhecimento do sistema. Esses são raros e difíceis de detectar justamente porque são pouco usados.
Veja outros programas que detectam e removem rootkits no Baixatudo.
Fonte: Altieres Rohr
Nenhum comentário:
Postar um comentário