Diz o ditado popular que “prevenir é melhor do que remediar”. Esse pensamento nunca foi muito aplicado pelos usuários de computadores, principalmente os “experts”, que pensam que uma infecção de vírus pode ser resolvida facilmente com uma reformatação do HD. Mas isso mudou com os rootkits. Essas pragas ainda podem ser apagadas com uma formatação, mas como você sabe que está infectado?

A maioria dos vírus, principalmente os mais antigos, podem ser notados facilmente pelo usuário. Programas param de funcionar, arquivos aumentam de tamanho, janelas estranhas são exibidas na tela, entre diversos sintomas que caracterizam uma infecção. Os rootkits, por outro lado, possuem apenas um objetivo: passarem completamente despercebidos pelo usuário.

Rootkits podem esconder chaves no registro, processos e pastas. No Windows, rootkits funcionam por meio da “interceptação de API” — quando um programa pede para o Windows listar uma pasta, por exemplo, o rootkit intercepta a chamada e “filtra” os resultados da listagem da pasta, removendo qualquer referência aos arquivos do rootkit.

Detectores de rootkit, como o RootkitRevealer, “pedem” para o Windows a lista de todos os arquivos no disco rígido (usando a API, que é interceptada) e depois fazem a listagem eles mesmos, usando uma programação de baixo nível sem usar a ajuda do Windows.

Os resultado da listagem do Windows (que foi filtrada pelo rootkit) e a da listagem de baixo nível (que o rootkit não interceptou) são comparados. As diferenças possivelmente são os arquivos maliciosos.

Mas o que acontece se o rootkit identificar o programa detector e não interceptar as chamadas ao Windows? O rootkit não será detectado, pois as duas listagens serão idênticas. Alguns rootkits já aplicam essa técnica: oHacker Defender possui versões pagas que incluem a identificação de detectores de rootkit, tornando o rootkit praticamente indetectável por essas ferramentas.

A maioria dos rootkits, felizmente, não utiliza técnicas tão avançadas e pode ser facilmente localizada por meio desses detectores.

A remoção do rootkit, por outro lado, pode ser outro problema: nunca é possível saber se todos os arquivos do rootkit foram removidos e sempre podem haver restos que reinstalarão a praga com o tempo.

Embora atualmente os rootkits sejam principalmente usados por bots, como variantes do Rbot/Agobot, a situação ficará ainda pior quando keyloggers — os cavalos-de-tróia que roubam senhas e contas de banco — começarem a se utilizar em massa dessa tecnologia. Os usuários poderão ser roubados sem que saibam sequer que há algo errado em seu sistema.

Como a maioria dos antivírus ainda não possui uma função para detectar rootkits (o F-Secure é atualmente o único) e a grande maioria dos usuários ainda não adotou detectores de rootkit, a melhor maneira de se livrar deles é não contraí-los.

Rootkits são instalados por páginas maliciosas na web e por worms que exploram falhas no Windows. Por isso é fundamental manter o sistema atualizado. Mas mesmo os sistemas atualizados ainda têm problemas: a Microsoft divulgou estatísticas de sua ferramenta de remoção de malware, que é executada automaticamente por todos aqueles que rodam o Windows Update ou as atualizações automáticas, e revelou que 20% das pragas encontradas no Windows XP SP2 são rootkits.

Como a Microsoft afirma que a maioria dos rootkits é instalada por bots, é possível que esses bots venham de arquivos maliciosos em redes P2P, geralmente relacionados à pirataria. Para a prevenção de rootkits, portanto, é necessário também o cuidado com os arquivos obtidos em redes P2P. É sempre recomendável que você faça o download de programas apenas seguindo links de sites confiáveis e evite o download de cracks — utilitários usados para gerar seriais e ‘piratear’ programas pagos — e outros softwares duvidosos (tais como geradores de crédito).

Se for possível, execute o sistema com um usuário limitado. Rootkits só funcionam nas versões NT, 2000, XP e 2003 do Windows e todas elas possibilitam a criação de restrições na conta do usuáriom como por exemplo, proibir a leitura ou escrita de certos arquivos ou chaves do registro. Essas restrições podem negar o acesso do rootkit aos recursos que ele precisa para ser instalado, inviabilizando a instalação e fazendo com que ele seja removido na próxima reinicialização sem qualquer ação do usuário.

Se o sistema estiver desatualizado, por outro lado, o rootkit poderá explorar uma falha no Windows para obter o acesso que precisa e ser instalado assim mesmo.

Embora o perigo ainda seja pequeno hoje, não vale a pena esperar: aposte sempre na prevenção. Você não está se prevenindo dos rootkits porque sua remoção é complicada, mas sim porque é difícil detectá-los sem o uso de ferramentas adicionais. Mas não há motivo para pânico: evitar rootkits é uma tarefa fácil, mas, para aqueles que não estão armados com a arma mais poderosa, que é a informação, até mesmo a tarefa mais trivial no mundo da segurança pode se tornar impossível.

Ferramentas para Detecção de Rootkit
Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

12 Comments

  1. Bela matéria, porém faltou mencionar os estragos que os rootkit’s fazem ao sistema, de uma forma mais ampla e também numa linguagem menos técnica pois certamente muita gente sequer sabe o que é um rootkit, ou um worm ou qualquer coisa parecida. Lembrem-se que muita gente acha que para vírus de computador tem que dar vitamina C para ele :)

    Curtir

  2. Gostei das dicas para se prevenir dos Rookits, mas como o próprio autor do texto sugere: “…arma mais poderosa, que é a informação…”. Portanto achei que ficou faltanto a informação sobre como personalizar a conta de usuário em meu windows XP para inutilizar as ações do Rootkit.

    Realizando as devidas restrições a leitura ou escrita de certos arquivos ou chaves do registro que facilitem a ação desta nova praga!
    Será que alguém pode me ajudar??

    Obrigado

    Curtir

  3. Gostei do artigo e achei muito interessante, mas gostaria de sugerir que houvesse a possibilidade de impressão.

    Curtir

  4. Augusto

    Basta rodar o sistema com uma conta de usuário limitado em uma partição NTFS que as configurações de segurança já são boas o suficiente para evitá-los. Se quiser configurar mais permissões, basta verificar as propriedades do arquivo e ir na aba Segurança (requer Windows XP Pro ou XP Home no Modo de Segurança).

    Aloisio

    Todas as páginas da Linha Defensiva já estão otimizada para a impressão. Se o navegador for atual e aceita folhas de estilo para impressão (IE6, Firefox, Safari, etc), basta escolher a opção de previsualização para ver como vai ficar e depois imprimir.

    Curtir

  5. Ficou bem estruturada esta materia alem do que acho importante lembrar uma das ultimas falhas do IE (internet explore) aonde o mesmo sofre de uma falha gravissima aonde ate o momento o unico modo de se defender e deixando no modo de segurança o nivel de internet como alto. gostaria que voces fizessem 1 materia relacionada as falhas dos navegadores como ja foram feitas anteriormente abraços

    Curtir

  6. alexandre kimura 10/12/2005 às 08:39

    Excelente matéria. Tive muitos problemas com esses rootkits, pois antes eu tinha banda larga e um roteador protegendo as informações e passei infelizmente a usar linha telefonica. Todos os dias eu formatava a minha maquina pois era infectado. Depois que instalei um firewall da lavasoft, nunca mais peguei não só virus como esses rootkits. Antes de botar a máquina na internet, tenha o firewall instalado, pois em questão de segundos a sua máquina é infectada. Num prazo de 1 hora, minha máquina sofreu 250 tentativas de invasão, scans e outras coisas mais. Um grande abraço a todos

    Curtir

  7. O que eu odeio nestas materias e a completa falta de embasamento tecnico, e uma tipica materia que nao serve para nada a nao ser encher a cabecinha dos usuarios de duvidas.

    Sugestao: Em materias deste tipo, seria mais produtivo alem de alertar para riscos, escrever tambem tecnicas e ferramentas de remocao, how-tos, etc..
    Enfim que seja uma materia que possa ser levado a serio.

    Curtir

  8. Quer saber, acho que já está na hora de repassar o computador doméstico, tanto na tecnologia, como na mentalidade construtiva. Evoluir da roda para o pneu reciclável…. aparentemente se deixa transparecer que estas falhas vêm de fábrica, intencionamente ou não…
    Agora, porque apenas um núcleo muito expert consegue fazer estas coisas pra furar seu sistema? Acho que 99% dos usuários não são capazes de fazer coisas desta ordem… e os outros poucos, como que souberam… ?
    Se existem alguma chaves no Word que faz aparecer bichinhos dançando, ou seja espaço disperdiçado no hd, e ao mesmo tempo uma brincadeira que o dono da empresa não aprovaria, é bem provável que este sistema tenha sido escrito mesmo para ser assim, de outra sorte, seria muito mais difícil mesmo a aplicação maldosa de certos programas maliciosos… esta é uma opinião minha…
    :O) gil.

    Curtir

  9. Parabéns pela matéria. Acrescento que o Spy Doctor tem opção (sweep options) de rastrear Rootkits.

    Abraço a todos.

    Curtir

  10. João Carlos 12/12/2005 às 12:05

    Qualquer matéria que fala de pragas de pc, é bem vinda. Acho que a maioria das pessoas já passou por algum momento, de ter que formatar sua máquina, pior ainda quando teve de perder dados. Por isso, sempre é bom lembrar, faça sua cópia diária dos seus trabalhos e tenham sempre um pacote: antivirus, firewell, privacy service no seu pc, de preferência pago pois são mais seguros, custam no máximo r$ 80,00 por ano.

    Curtir

  11. Achei muito interessante, mas agora é que são elas tem que a microsoft, ou mesmo os anti-virus, ou mesmo bloqueadores de spam, bloqueadores de rootkits, eu não sei, mas tem quem sabe!…

    Curtir

  12. Retificando meu texto acima: é o Spy Sweeper e não o Spy Doctor.

    Curtir

Comentários encerrados.