Rootkit
La piaga del nuovo millennio.
Come riconoscerli e come eliminarli
Il rootkit piu insidioso dell'anno 2006. Come riconoscerlo e come rimuoverlo
Analisi e rimozione

"Rootkit" la piaga degli ultimi anni

Le metodologie d'infezione utilizzate negli ultimi tempi dai malintenzionati del web,sono sempre piu sofisticate . I Rootkit sono di sicuro la tipologia d'infezione piu insidiosa presente attualmente in circolazione . Questi permettono di rendere automatica la dissimulazione delle tracce di un pirata su un computer , ed hanno come obbiettivo quello di modificare i permessi amministratrativi del sistema , e di nascondere le porte aperte da un pirata .

I Rootkit inizialmente erano stati concepiti come uno strumento riservato agli amministratori dei post client, permettendogli di avere pieno controllo sui processi sistemi . Questo enorme potere è dato dall'esecuzione diretta del rootkit sul nodo principale dei sistemi operativi,per lanciare dei processi critici . Con il passare del tempo questo ruolo di "Super-utilizzatore" si è rigirato contro l'industria informatica . Infatti con questi metodi i pirati riescono ad infiltrarsi nel sistema per prenderne il controllo, all'insaputa degli utilizzatori ,i quali ignorano la maggior parte delle volte queste intrusioni.

Come funziona un rootkit , e perchè sono cosi pericolosi?
Il sistema operativo dialoga con i programmi attraverso un insieme di funzioni, chiamte in gerco tecnico ,API. La parte di queste funzioni che riguardano il file system, hanno come compito quello di chiedere informazioni al sistema sui dati registrati nel disco rigido, ,e di comunciarli alle applicazioni. Il rootkit per raggiungere il suo scopo , và ad agire proprio su questo settore ,intercettando le risposte che le funzioni API restituiscono alle applicazioni, per rimuove da esse qualsiasi riferimento riguardante l'oggetto che intende occultare (Trojan o Backdoor). E' ovvio che non avendo ricevuto alcuna informazione,le applicazioni non potranno rilevare alcun oggetto nascosto .

Il rootkit fà in modo da essere lanciato ad ogni avvio del sistema operativo attraverso una chiave di registro, ovviamente resa anch'essa invisibile con la tecnica appena vista. Una volta attivo, come una qualsiasi applicazione, il rootkit può operare sia in user-mode, che in kernel-mode. I programmi che girano in user-mode sono più limitati, nel senso che operano in un'area ristretta della memoria, e non possono in alcun modo accedere ad altre aree della memoria stessa . Il kernel-mode al contrario, consente un accesso illimitato , ciò significa che un software in kernel può modificare e sovrascrivere anche altri programmi (addirittura il codice del sistema operativo) presente in memoria. Un programma per girare in kernel-mode deve però essere avviato con privilegi d'amministratore. I rootkit sono al momento classificati "user-mode" o "kernel-mode" in base a come si comportano una volta nel sistema.
Il miglior metodo di difesa ,non solo per i Rootkit ma per i malware in generale, è senza dubbio la prevenzione, vediamo come;
Un rootkit può essere rilevato, e bloccato in due modi prima che si installi nel sistema:
  1. durante un normale scan viene individuata una minaccia in un programma di installazione
  2. nel momento che il rootkit viene installato nel sistema, viene bloccato un procedimento dubbio .Ma fate molta attenzione perchè questo tipo di rilevazione potrebbe spesso rilevarsi un falso positivo , infatti esistono dei software leggittimi che hanno piu o meno lo stesso comportamento,basta pensare ad un programma che per funzionare in maniera corretta, necessita di installare un driver di periferica.
Per questo tipo di prevenzione è indispensabile avere antivirus e antispyware sempre aggiornati ed efficienti.

Cosa un pochino piu complessa, è trovarsi a combattere con un rootkit già presente nel sistema, ma anche in questi casi non tutto è perduto. Infatti anche se le normali scansioni sarebbero del tutto insufficienti , il punto debole esiste anche per questi strumenti esageratamente complessi . Il punto debole stà nel fatto che per quanto nascosto, il rootkit deve per forza essere fisicamente presente nel disco fisso. Quindi eliminando il collegamento tra applicazioni e sistema operativo,praticamente dove il rootkit agisce, è possibile intercettarlo. In poche parole questo vuol dire bypassare le funzioni API,di cui parlavamo prima . Negli ultimi tempi vista la sempre maggior crescita di questo fenomeno, le software-house di sicurezza hanno fornito agli utenti del web dei programmi antirootkit. Questi scansionano il sistema alla ricerca di rootkit in due modi:
  1. prima viene eseguito un controllo utilizzando le normali funzioni API
  2. poi invece viene fatto un controllo a bassissimo livello in grado di accedere direttamente ai dati contenuti nel disco rigido.
Le differenze fra i due scan,stanno ad indicare azioni nascoste da un possibile rootkit.

Per una lista dei miglior software antirootkit, e per altre info riguardanti questa piaga , fate riferimento alle risorse utili sulla destra del vostro schermo.

Vai su
Welcome:
Mi chiamo Maurizio ed ho 29 anni. Ho fatto questo piccolo e semplice sito per aiutare gli amici e per chiunque ne volesse usufruire . Non sono un professionista , la mia è pura passione , qui ndi mi scuso in anticipo per gli eventuali piccoli errori,o omissioni presenti nelle guide
Buona navigazione !!!
Guide
Risorse Utili per Rootkit

  • Antirootkit.com
  • Forum Antirootkit
  • Blog Antirootkit
  • Tuto Rootkit
  • Wikipedia
  • Rootkit.com
  • Soft AntiRootkit
  • Gizmo's Top
  • Wordpress
  • Assiste.Forums
  • Vulnerabilite.com
    •

    Software Utili Antirootkit

  • RootkitRevealer
  • Gmer
  • Sophos Antirootkit
  • Tool Antirootkit
  • Blacklight F-Secure
    •