Home > Notícias

Vírus e rootkits: uma parceria perigosa

Criminosos criam programas para esconder a ação de suas pragas virtuiais. Saiba como se defender

PC WORLD - EUA

18/09/2006 às 12h43

Foto:

Nível de risco: Alto
Probabilidade: Média
Alvo: Usuários do Windows

hackerRootkits são o sonho de todo o inventor de programas nocivos. Eles permitem que worms, bots e outros softwares malignos se escondam dentro de sua máquina. Os arquivos não aparecem no Windows Explorer, os processos em andamento não são mostrados pelo Task Manager e muitos dos antivírus atuais não são capazes de identificar malware escondido em rootkits – daí a razão de tantos inventores de pragas virtuais estarem utilizando os rootkits para esconder aplicativos maliciosos.

Em novembro do ano passado, foi identificado que CDs de música da Sony utilizavam rootkits para proteger seus arquivos contra cópia. Surpresos com a notícia, criminosos logo elaboraram malwares que utilizavam a criação da Sony para esconder suas armadilhas. O software da gravadora mascarava arquivos ou processos que começassem com “$sys$”, portanto os desenvolvedores de malware apenas tinham de mudar os nomes dos arquivos conforme o necessário.

No último mês de março, a empresa espanhola de segurança Panda Software divulgou ter encontrado variações do worm Bagle equipadas com funções rootkit. Tal qual produtores de programas botnet, os desenvolvedores de rootkits vendem ou dão ferramentas que facilitam que autores mal-intencionados instalem funcionalidades de rootkits em softwares malignos já conhecidos, como o Bagle.

Com o crescente uso de rootkits por criminosos, surgem novas e impressionantes possibilidades para estes softwares. A empresa de segurança eEye identificou que é possível que arquivos sejam escondidos no setor de boot do disco rígido. Em janeiro, John Heasman, consultor de segurança da Next-Generation Security Software, anunciou que rootkits podiam esconder códigos maliciosos dentro do BIOS do PC utilizando funções avançadas de configuração.

Um projeto capitaneado pela Microsoft e pela Universidade do Michigan fez novas descobertas nas pesquisas sobre rootkits, desvendando um método que permitia que se usasse um software chamado SubVirt rodando sob o sistema operacional da máquina. O sistema não percebia a execução deste programa e ficava completamente à mercê dele.

Felizmente, esta técnica não pode ser implantada tão facilmente e, mesmo assim, tende a dar pistas para o dono da máquina, como lentidão do sistema e produção de arquivos obscuros. Por enquanto, esta espécie extrema de software rootkit existe de forma conceitual e deve levar um longo tempo até que autores de malware consigam realizar ataques do gênero.

++++

O simples ato de encontrar os rootkits menos sofisticados já é um grande desafio para a maioria dos softwares de segurança atuais. A arte de detectar e removê-los se baseia em técnica e sorte. Encontrar um rootkit escondido em um PC que use Windows não é muito diferente de iluminar objetos em um quarto escuro com uma lanterna e tentar identificá-los a partir da sombra que produzem nas paredes. Softwares especializados, como o F-Secure, da BlackLight, e o RootkitRevealer, da Sysinternals, rastreiam os arquivos e a memória do Windows em busca das irregularidades características que os rootkits deixam como rastro. Mas estes produtos não funcionam em todos os casos. Recentemente, o programa de adware Look2Me conseguiu driblar o BlackLight desativando uma chave do sistema. A descoberta foi acidental, mas os fabricantes de rootkit certamente passaram a levar em conta esta ocorrência.

Como funciona?
1- Um cavalo-de-tróia com software rootkit invade o seu PC por meio de um download.
2- O malware realiza mudanças radicais no sistema para esconder seus aplicativos virulentos.
3- O cavalo-de-tróia camuflado recheia a máquina com spywares e keyloggers.

rootkitvirus

Como se defender?
1- Procure por antivírus capazes de rastrear e remover rootkits. Os mais recentes aplicativos da Kaspersky e F-Secure, por exemplo, podem fazer isso
2- Use um detector de rootkits como o RootkitRevealer, da Sysinternals, ou o BlackLight, da F-Secure – ambos downloads gratuitos.

Saiba mais em nosso especial de segurança

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail