Home > Notícias

Desmascare os rootkits, espiões que se escondem no sistema

Ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato

Por Lygia de Luca, repórter do IDG Now!

10/07/2007 às 10h21

RootKit_70x84.jpg
Foto:

Ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato

Rootkit 100 120Crianças adoram brincar de esconder. A mesma atitude é inerente aos rootkits, projetados para permanecerem camuflados em um computador.

Os rootkits são um conjunto de programas utilizados por crackers para ocultar arquivos maliciosos. Tecnicamente, é possível afirmar que o rootkit é uma evolução dos cavalos-de-tróia, malwares desenvolvidos para ganhar acesso a um computador.

Contudo, a característica principal dos rootkits é o fato de serem capazes de fugirem da identificação. Para tal, eles se instalam principalmente no modo kernel (o núcleo do sistema operacional). Lá, encontram maior capacidade de se esconder. “Mais próximo ao sistema operacional, ele está mais protegido”, explica o engenheiro de sistemas da Symantec, André Carrareto.

Os rootkits também podem se instalar no modo usuário, apesar deste comportamento ser mais incomum, pois este local o torna mais frágil. Ali, ele pode interceptar chamadas da API (interface para programação de aplicativos) e modificar seus registros.

“O gerenciador de tarefas do Windows, por exemplo, lista os processos e permite que algo estranho seja identificado. O rootkit não permite que esta listagem mostre suas atividades”, diz Carrareto.

Os antivírus, de um modo geral, não rastreiam estes esconderijos. Desta maneira, além de permanecer "invisível", o rootkit pode instalar os códigos maliciosos que desejar e manipular uma rede da forma que melhor lhe convir.

Da raiz
Do inglês “root” (raiz), o termo deixa clara a atuação deste malware, que alcança a raiz de um computador. Pela própria estrutura do sistema operacional, é neste local que o malware fazer estragos de grandes proporções por conta dos privilégios obtidos.

Originalmente, o termo se referia a um conjunto de ferramentas (daí o kit) do sistema operacional Unix. “Como todo malware, ele foi criado para facilitar a vida das pessoas.

Ele era utilizado para auxiliar os administradores do sistema Unix a gerenciarem a máquina”, explica Carrareto.

A fama desta ferramenta adquiriu proporções globais quando a gravadora Sony/BMG integrou o software XPC, que atua de forma similar a um rootkit, aos seus CDs, em 2005.

O “rootkit-DRM” atuava para impedir cópias do álbum, até que um especialista descobriu que, além desta função, ele tornava os micros onde era instalado vulneráveis a invasões.

Um semana após a eclosão do escândalo, que custou 1,5 milhão de dólares aos cofres da gravadora, foi detectado o primeiro malware que usava o rootkit integrado aos CDs da Sony/BMG para se camuflar no PC da vítima.++++
Perigo invisível
O objetivo - e peculiaridade - do rootkit é se manter camuflado. Esta ferramenta pode ser dividida em diversos tipos, variáveis de acordo com o nível de atuação no sistema: firmware, applicação, kernel e assim por diante.

Sozinho, o rootkit não faz nada. “Seu objetivo é esconder a ação de atividade maliciosa no PC ou servidor”, explica o engenheiro de suporte da BitDefender, Luciano Goulart.

Isto permite que um backdoor, por exemplo, que abre a máquina para acesso remoto do invasor, não seja identificado quando as portas de rede são examinadas. Inclusive, “com a característica de camuflagem, o poder de fraude aumenta potencialmente”, alerta Carrareto.

Quantidade de esconderijos
Só nos dois primeiros meses deste ano, a PandaLabs detectou 25% do total de rootkits encontrados em 2006. Dos cinco rootkits que mais atuaram no último semestre, três deles o faziam no modo kernel, segundo a PandLab. Neste período, os crackers têm desenvolvido técnicas cada vez mais complexas e difíceis de serem detectadas.

No primeiro trimestre deste ano, a McAfee identificou um crescimento de 15% de rootkits em comparação ao mesmo período do ano anterior.

O número de rootkits, desde sua popularização, tem crescido em alta velocidade. Segundo a McAfee, entre 2005 e 2006, o aumento de ataques que usavam rootkits cresceu 700%.

A Microsoft afirmou, há dois anos, que mais de 20% de todos os malwares removidos do Windows XP com Service Pack 2 eram rootkits.

Carona na vulnerabilidade
Enquanto os malwares, como vírus e worms, atacam a máquina e são seu próprio meio de transporte para chegar a um computador, esta ferramenta pega carona em um arquivo malicioso para acessar um sistema.

“Muitas vezes o usuário, sem perceber, instala um código malicioso que é programado para inserir o rootkit no micro pela internet”, diz Carrareto.

Também é possível que, junto a técnicas de phishing, por exemplo, o usuário possa instalar arquivos executáveis e, dessa forma, se infectar com o rootkit.

O programa é inteligente e pode possuir comandos altamente sofisticados. O Backdoor.Rustock é um exemplo deste avanço.

“Ele inclui técnicas designadas para driblar a maioria dos softwares anti-rootkit, e pode até mudar seu comportamento para ficar cada vez mais invisível caso perceba que uma ferramenta de detecção está rodando no sistema”, afirma Goulart.++++
Encontrar e excluir o visitante oculto
Para que os rootkits não encontrem brechas pelas quais possam se infiltrar no computador, a primeira coisa a ser feita é manter em dia as atualizações do sistema.

Também é preciso manter atualizadas as ferramentas de proteção, como antivírus e firewalls.

Atualmente, algumas tecnologias têm como alvo principal a detecção de rootkits e conseguem removê-los. Contudo, se isto não for possível, será necessário reinstalar o sistema operacional.

E como identificar um rootkit? “A ferramenta irá identificar um malware, e o usuário irá buscar informações no fabricante do antivírus e saber se este possui um comportamento característico a um rootkit”, indica Carrareto.

“Os mais difíceis de detectar são os que gerenciam ‘ganchos’ no kernel, mas não escrevem nada no disco, residindo somente em memória”, revela Goulart. Estes são grandes ameaças a servidores, onde a máquina só é reiniciada em situações raras.

Proteção gratuita
O usuário conta com alguns programas gratuitos disponíveis na rede, específicos para identificar rootkits.

Um deles é o AVG Anti-Rootkit, da Grisoft, que pode ser baixado no site da empresa. A Sophos também tem disponível para download sua ferramenta gratuita de identificação e remoção desta ameaça.

Outros aplicativos gratuitos são o IceSword e o GMER.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail