Rootkit ou Trojans Avançados, o que são?

Entenda o Rootkit

Rootkit são trojans que utilizam métodos avançados de programação para serem instalados em camadas profundas ou ainda não documentadas do sistema operacional.

Podem ser programas, arquivos, processos, portas ou qualquer componente que permita atacar e manter acesso e controle sobre o sistema. Operam nos níveis de usuário, Kernel e Firmware, conseguindo ocultar-se, replicar-se e proteger-se contra as defesas do sistema, desativando antivírus e outras defesas.

Pode ainda mascarar o movimento de dados em uma LAN; remover-se e reinstalar-se; atualizar-se pela Internet e saltar de máquina em máquina por rede; acessar o computador, sem ser identificado e permanecer inativo, esperando a hora certa de agir e fazer download de sua carga para corromper o sistema.

Seus aspectos mais devastadores são sua capacidade de se autorrecuperar, reinstalando-se mesmo após a limpeza da máquina e sua rápida disseminação. Um rootkit desempenha as mesmas funções de um trojan, capturando informações, instalando backdoors (brechas abertas para que os criminosos possam acessar o sistema sem serem vistos) ou outros tipos de malware, sem que sejam percebidos pelos programas de detecção.

Alguns rootkits podem infectar arquivos de inicialização, como a MBR (Master Boot Record). Dessa forma, mesmo após uma formatação, haverá a reinfecção. Nesses casos, a substituição da MBR – que pode ser feita por antivírus, é a única forma de desinfestar completamente o sistema.

Em 2012, algumas entidades de segurança descobriram o vírus Flame, rootkit com diversos recursos que lhe permitiram ser indetectável por quase dois anos. O malware foi utilizado para espionagem e sabotagem de empresas e usinas nucleares em diversos países.

Existem rootkits legítimos, instalados por programas ou drivers, que precisam de um acesso mais profundo ao sistema. Por esse motivo, o diagnóstico de infecção por rootkit deve ser feito somente por especialistas ou por software antivírus.

Danos causados

Pesquisa da McAfee mostraram crescimento vertiginoso deste tipo de malware: rootkit indetectável, com 42 amostras registradas em 2007 e cerca de 2 milhões até março de 2011, causando diferentes tipos de danos aos usuários e apontando para algumas tendências, listadas abaixo.

Tendências

Taxas crescentes de perda de dados
Aumento nos custos de violações de dados
Maiores desafios no gerenciamento de riscos
Aumento dos custos sobre a produtividade

Veja o dicionário de vírus completo.

Redação PSafe

O dfndr blog é um canal de caráter informativo que apresenta conteúdos exclusivos sobre segurança e privacidade no mundo mobile e empresarial, com dicas para manter a população protegida. Formado por uma equipe de repórteres especializados, o canal conta com a parceria dos especialistas em segurança do dfndr lab para trazer, em primeira mão, notícias sobre ataques, golpes, vulnerabilidades na internet, malwares e suas variações.