Perchè in questo articolo è stato inserito il simbolo degli acchiappa-fantasmi? E’ presto detto, perchè ci occuperemo e cercheremo di spiegare nel miglior modo possibile cosa sono e come è possibile liberarci da questa nuova minaccia che si sta diffondendo e che colpisce i pc all’insaputa non solo dell’utente, ma anche della maggior parte degli antivirus in circolazione.
Sì, avete capito bene, anche un antivirus ben aggiornato non è idoneo all’identificazione di questi nuovi “fantasmi” del pc: i rootkit.
Ma cosa sono i rootkit? La loro origine risale a più di dieci anni fa, al 1991, periodo in cui è nato Linux, sistema operativo che ne faceva largo uso come software per semplificare la gestione amministrativa del pc. Il loro utilizzo è cresciuto con gli anni e via via si è diffuso anche in sistemi operativi come Microsoft e Mac.
I rootkit in origine sono dei programmi software che permettono il totale accesso e controllo del sistema senza aver bisogno di alcuna autorizzazione per poter operare. Un rootkit è una sorta di amministratore generale, colui che conosce tutti gli angoli più nascosti del computer, che ha accesso illimitato a qualsiasi file presente nella macchina o file che viene creato dall’utente che utilizza quella macchina (anche se nascosto o protetto da password). E’ per questa sua caratteristica, di per sé positiva, che i malintenzionati attualmente rivolgono un’attenzione sempre maggiore ai rootkit i quali, se presenti in forma maligna, creano danni più grandi di qualsiasi altro virus, malware, cavallo di troia ecc.
Recentemente infatti i nuovi virus cercano di trarre vantaggio dalla presenza di questi rootkit e si nascondono tra di essi sotto svariate forme: processi, file, chiavi di registro e anche porte di rete. Attraverso queste ultime arrivano i danni maggiori perchè vengono create delle backdoor (porte sul retro) che aprono la nostra macchina, illimitatamente, al creatore del rootkit: e questi può così impadronirsi di informazioni personali, password e di qualsiasi dato che noi memorizziamo sull’hard disk del computer. Praticamente un rootkit svolge le stesse azioni di un comune virus, ma con la particolarità di non poter essere rilevato.
Esistono diversi rootkit, ognuno con le proprie caratteristiche e con un proprio grado di pericolosità. E’ possibile suddividerli in due macro categorie e combinare queste tra loro. Ovvero:
1. Per durata vitale
2. Per modo di operare
Nella prima categoria hanno spazio da una parte i rootkit persistenti, rappresentati da un programma maligno – presente nell’hard disk del nostro computer – che si avvia ad ogni accensione del sistema operativo.
E dall’altra i memory-based rootkit, i quali scompaiono semplicemente con un riavvio della macchina. La loro infezione però non è legata soltanto alla sessione operativa corrente – come si potrebbe erroneamente credere – perchè, anche se in maniera parziale, delle tracce più piccole rimangono comunque memorizzate.
Nella seconda categoria invece ritroviamo da un parte i rootkit a livello utente, rootkit che intercettano l’avvio dei programmi che si utilizzano, si mascherano sotto forma di chiavi di registro e vengono inglobati all’interno dell’interfaccia del programma che ci si appresta a usare.
E dall’altra i rootkit a livello kernel, molto più complicati e sofisticati proprio perchè operano ad un livello estremamente basso nell’architettura della macchina.
Un rootkit non si diffonde come i normali virus, rari sono i casi di infezione attraverso la posta elettronica. Si diffonde invece quando si visitano siti sospetti – siti di cui non si conosce l’autore – o si inseriscono nel computer cd provenienti da fonti non sicure.
Un aspetto molto interessante di quest’ultima affermazione risiede nel fatto che anche la Sony tempo fa introdusse, all’insaputa di tutti, un rootkit nei cd audio per impedire che questi ultimi venissero masterizzati; naturalmente in questo caso il rootkit non era pericoloso per l’integrità del computer, serviva solo come controllore, illegittimo, a tutela della casa discografica.
Alla luce di tutto questo, è importante individuare il prima possibile queste “infezioni virali” per evitare che si comprometta il proprio pc. Un utile strumento diagnostico e di prevenzione viene fornito gratuitamente dalla società Sophos. Per chi non la conoscesse, è lei la prima a segnalare le nuove minacce presenti in rete e sviluppare antidoti capaci di rimuove virus & company, soprattutto per le aziende.
Lo strumento si chiama Sophos Anti Rootkit Test, scaricabile da questo link dopo essersi registrati al portale della società.
Una volta installato ed eseguito, partirà una scansione del sistema e, dopo aver individuato la minaccia, verranno elencati i procedimenti da seguire per rimuovere il rootkit dannoso.
Attenzione! Questo tool, questo programma, è uno strumento diagnostico, l’eliminazione del rootkit dovremmo farla noi manualmente.
Scritto da Mac La Mente