Detecte o rootkit e proteja-se contra ele
Grande parte do malware usado por criminosos em todo o mundo não é detectado por suas vítimas. Isso também se deve a malware, como o rootkit. Mostraremos de uma maneira fácil de entender o que é um rootkit, quais tipos existem e como você pode proteger seu computador deles com as ferramentas certas.
O que é um rootkit?
Um rootkit é um malware escondido muito profundamente no sistema operacional. Devido à sua programação, os rootkits geralmente só podem ser detectados e removidos com o software antivírus apropriado.
A função central dos rootkits é permitir que terceiros acessem um computador externo. Você pode controlá-lo remotamente, manipulá-lo ou roubar dados. Os ataques de rootkit também são usados, por exemplo, para instalar software com o qual os invasores podem controlar um botnet remotamente.
Um rootkit geralmente consiste em um pacote de malware. Um rootkit pode conter keyloggers, bots ou ransomware.
Informação: De onde vem o nome "rootkit"?
O termo “rootkit” é composto pelas palavras “root” (alemão = root = diretório mais alto em um sistema de arquivos; usuário com todos os direitos de administrador) e “kit” (alemão = conjunto). O rootkit é uma coleção completamente neutra de aplicativos de software que podem usar direitos de administrador. Mas quando esses direitos são usados para recarregar malware, o próprio rootkit se torna malware.
Rootkit: Existem esses tipos
Os rootkits são geralmente classificados com base na profundidade em que atuam no sistema de arquivos do computador em questão.
Rootkits de modo de usuário |
O principal afetado por esses rootkits é a conta do administrador em seu computador. O malware tem todas as vantagens de acesso de administrador a arquivos ou programas e pode, por exemplo, alterar as configurações de segurança. O que é complicado sobre esses rootkits: eles são iniciados automaticamente sempre que o computador é reiniciado. |
Rootkits de modelo de kernel |
Esses rootkits funcionam diretamente no nível do sistema operacional e, portanto, têm a possibilidade de manipular todas as áreas do sistema operacional. Mesmo as verificações de antivírus podem produzir resultados incorretos se infectados com um rookit no modo kernel. No entanto, os rootkits do kernel precisam superar muitos obstáculos antes de ficarem presos no kernel. Eles geralmente são notados de antemão, por exemplo, porque o computador continua travando. |
Rootkits de firmware |
Esses rootkits podem implantar o firmware de sistemas de computador. Depois de excluídos, eles são reinstalados automaticamente sempre que você reiniciar. Isso torna os rootkits de firmware particularmente persistentes e torna difícil removê-los. |
Kits de inicialização |
Esses rootkits ficam presos no setor de inicialização. Quando você inicia o seu PC, o sistema usa o registro mestre de inicialização. Lá você também encontrará o kit de inicialização, que é carregado toda vez que você inicia. Os usuários de sistemas operacionais Windows mais recentes, como 8 ou 10. Essas versões já têm sistemas de segurança que evitam que os kits de inicialização sejam iniciados quando o computador é ligado. |
Rootkits virtuais |
Esses rootkits se instalam em uma máquina virtual e podem acessar um computador infectado fora do sistema operacional real. Isso os torna difíceis de serem detectados pelo software de proteção contra vírus. |
Rootkits híbridos | Esses rootkits dividem o software e instalam partes dele no kernel e outras partes no nível do usuário. Esses rootkits são vantajosos para os criminosos porque são executados de forma muito estável no nível do usuário e, ao mesmo tempo, atuam no kernel, ou seja, camuflados. |
Para se proteger contra essas ameaças traiçoeiras, os antivírus, entre outras coisas, devem ter definições de vírus atualizadas.
Como um rootkit chega ao computador?
Os rootkits sempre precisam de um "veículo" com o qual possam se implantar em um computador. Como regra, um rootkit é, portanto, sempre composto de três componentes, o rootkit em si, o dropper e o carregador. O conta-gotas é comparável a um vírus de computador que infecta seu computador. Porque o conta-gotas está procurando uma brecha de segurança para salvar o rootkit no dispositivo desejado. Em seguida, o carregador é usado. Ele instala o rootkit no computador infectado, por exemplo, no kernel ou no nível do usuário, se for um rootkit no modo de usuário.
Os rootkits usam a seguinte mídia para descarte:
Mensageiro |
Por exemplo, se você receber um link ou arquivo malicioso por meio de um messenger e abrir o link ou arquivo, o conta-gotas pode colocar o rootkit em seu dispositivo. |
Software e aplicativos invadidos: |
Os rootkits podem ser "contrabandeados" para softwares ou aplicativos confiáveis por hackers. Os arquivos são distribuídos na internet como ofertas gratuitas, por exemplo. Assim que instalar esses programas, você também baixará o rootkit em seu computador. |
Arquivos PDF ou Office: | Os rootkits podem ser ocultados em arquivos do Office ou PDFs, seja como um anexo de e-mail ou download. Assim que você abre o arquivo, o conta-gotas insere o arquivo no seu computador e o carregador começa a ser instalado em segundo plano. |
Como reconheço um rootkit em meu computador (scanner de rootkit)?
Para detectar rootkits de maneira confiável e removê-los, é necessário um verificador de rootkit, que está incluído na verificação de vírus de programas antivírus poderosos. Por exemplo, essas varreduras podem reconhecer assinaturas de rootkit comuns. Com essas assinaturas, os números no código são organizados de uma determinada forma. Mas também existem alguns sinais em seu computador que podem indicar uma possível infecção por um rootkit.
- Comportamento incomum do seu computador: Os rootkits são caracterizados por sua imperceptibilidade. No entanto, pode acontecer que o seu computador se comporte de forma diferente do normal, por exemplo, abrindo programas involuntariamente ou iniciando processos que você não iniciou.
- As configurações do seu sistema mudam sem qualquer ação de sua parte: Se você descobrir, por exemplo, que seu computador geralmente permite acesso remoto ou portas abertas, um rootkit pode ser a causa.
- Análise do despejo de memória: Quando um computador trava, o Windows cria uma imagem da memória do sistema. Os especialistas podem usar este arquivo para identificar padrões incomuns que um rootkit cria.
- Sua conexão com a Internet está sempre instável: Os rootkits podem, por exemplo, garantir grandes fluxos de dados por meio dos quais os hackers podem acessar os dados. Esses movimentos de dados podem tornar sua linha de internet muito lenta ou até mesmo causar travamento.
Como posso me proteger de um rootkit?
A proteção mais importante contra rootkits é o uso de um programa de proteção antivírus atualizado. Equipado com as definições de vírus mais recentes, a proteção em tempo real pode alertá-lo sobre downloads e instalações perigosas e usar um antivírus para verificar regularmente se há rootkits em seu computador.
Além disso, as seguintes medidas são recomendadas:
- Use apenas uma conta de usuário na vida cotidiana e não acesso de administrador: Se você entrar no Windows ou iOS com uma conta de convidado, você terá apenas direitos limitados. Se você infectar seu computador com um rootkit durante este período, o dropper pode acessar apenas este nível de usuário e, por exemplo, não acessar diretamente o kernel.
- Atualize seu sistema operacional e software regularmente: Os fabricantes eliminam as lacunas de segurança conhecidas com atualizações regulares. Portanto, é imperativo que você execute todas as atualizações necessárias.
- Baixe arquivos da Internet apenas de sites confiáveis: Evite downloads potencialmente perigosos, minimize o risco de se tornar uma vítima de um rootkit.
- Abra apenas anexos de e-mail de remetentes em que você confia: Se você receber e-mails de remetentes com endereços de e-mail criptografados, é melhor excluí-los. Se um anexo de e-mail de um endereço familiar lhe parecer estranho, é melhor verificar com o remetente novamente antes de abrir o anexo de e-mail.
- Instale aplicativos para smartphones apenas das lojas de aplicativos oficiais: Se você obtém aplicativos de fontes oficiais, eles já passam por uma verificação de segurança. Isso reduzirá o risco de carregar um rootkit em seu smartphone.
Remover rootkit - como proceder
Você sempre deve remover rootkits com software antivírus especial. Uma vez que esse malware pode se alojar profundamente no sistema operacional do seu computador, a remoção manual geralmente é muito difícil. Se você esquecer pequenos resquícios do rootkit ao excluí-lo, ele geralmente se reinstalará quando você reiniciar.
A melhor maneira de remover rootkits é usar um programa antivírus atualizado que tenha as definições de vírus mais atualizadas. Uma verificação de vírus no modo de segurança é então recomendada para que o rootkit não possa, por exemplo, recarregar dados da Internet. Freqüentemente, é necessário executar a varredura de vírus ou malware várias vezes para eliminar completamente um rootkit.
Este artigo fornecerá instruções detalhadas sobre como localizar e excluir rootkits.
Rootkits conhecidos
Os rootkits são ameaças da Internet muito antigas. Um dos primeiros rootkits conhecidos é o malware que atacou principalmente os sistemas operacionais Unix em 1990. O primeiro rootkit conhecido para computadores Windows foi o rootkit NTR, que estava em circulação em 1999. Este é um rootkit de kernel.
Entre 2003 e 2005, ocorreram vários ataques importantes com rootkits, incluindo um ataque a telefones celulares que foram ativados na rede Vodafone Grécia. Este rootkit ficou conhecido como "Watergate grego" porque, entre outras coisas, o primeiro-ministro grego foi afetado.
Em 2008, o kit de inicialização TDL-1 explodiu. Os cibercriminosos o usaram para construir uma grande rede de bots com a ajuda de um cavalo de Tróia.
Um rootkit foi descoberto pela primeira vez em 2009, que também infecta os sistemas operacionais da Apple. Foi batizado de "Maquiavel".
Em 2010, o worm Stuxnet se alastrou. Entre outras coisas, ele usou um rootkit que deveria espionar o programa nuclear iraniano. Os serviços secretos israelenses e americanos são suspeitos de serem desenvolvedores e invasores.
Com o LoJax, um rootkit foi descoberto em 2022-2023 que infecta o firmware na placa-mãe de um computador pela primeira vez. Isso permite que o malware se reative quando o sistema operacional for reinstalado.
Conclusão: Difícil de detectar, mas com software antivírus atualizado e cuidado, o risco pode ser reduzido
Como os rootkits estão profundamente embutidos no sistema operacional de um computador, a prevenção é particularmente importante. Depois que um rootkit é instalado, é difícil para leigos detectar uma infecção. No entanto, qualquer pessoa que seja cautelosa na Internet com um sistema de proteção contra vírus atualizado e as ferramentas apropriadas e que não abra arquivos desconhecidos descuidadamente reduz a probabilidade de ser vítima de um rootkit.