Cosa sono i rootkit? Nella lezione di oggi scopri cosa sono, a cosa servono, come funzionano e come proteggersi dai rootkit!
Nella lezione sui tipi di malware più comuni abbiamo già parlato di rootkit: programmi maligni creati per permettere ai malintenzionati di ottenere il controllo sul tuo sistema operativo.
Oggi esaminiamo più in dettaglio questo tipo di malware.
Che Cosa Sono I Rootkit?
Il termine Rootkit è formato da due parole: Root indica l’account Amministratore in sistemi operativi Linux e Unix, e Kit è il termine usato per indicare un insieme di programmi.
Con Rookit si indica comunemente oggi un programma (o un insieme di programmi) creato principalmente per controllare il sistema operativo di un computer senza che sia necessario avere l’autorizzazione da parte dell’utente amministratore.
Di per sè, questo non significa che un Rootkit sia per forza maligno.
Esistono infatti alcuni RootKit legittimi, che servono a programmi legittimi per funzionare nel tuo sistema.
Ad esempio, Daemon Tools, Alcohol 120% o User Profile Hive Cleanup Service (programma di Microsoft) usano rootkits legittimi per funzionare.
La stragrande maggioranza dei RootKit in circolazione oggi sono però considerati malware: ossia, sono programmi maligni usati per scopi illegittimi.
Pensa che esiste un’intera industria di spyware, del valore di svariati miliardi di dollari, che funziona grazie ai rootkits maligni!
Alcuni rootkit (come ad esempio Greek, Zeus, Stuxnet e Flame) hanno infettato negli scorsi anni centinaia di milioni di computers.
Ecco perchè il termine Rootkit ha assunto quindi una connotazione negativa e viene associato a malware.
A Cosa Servono I Rootkit Maligni?
I Rootkits non legittimi hanno due funzioni primarie, come spiega anche Microsoft nella pagina sui Rootkit.
La prima funzione è quella di permettere ad un malintenzionato di entrare nel tuo computer, senza che tu te ne accorga, e lanciare applicazioni specifiche. Questo è uno degli scopi più comuni dei rootkits.
La seconda funzione più comune è quella di registrare specifiche attività nel computer.
In pratica, il rootkit permette a qualcuno di controllare il tuo computer a tua insaputa, e di spiare l’uso del computer.
Chi accede al tuo computer tramite rootkit può eseguire files, monitorare le tue attività accedendo ai file di log, e modificare impostazioni del sistema.
Come Entrano I Rootkit nel Computer?
I Rootkit possono entrare nel tuo computer in parecchi modi.
Basta ad esempio cliccare sul link sbagliato mentre navighi in Internet, scaricare un programma che contiene il rootkit ed eseguire il programma: a questo punto il rootkit si installerà a tua insaputa nel computer.
Puoi aprire la strada ai rootkit anche scaricando documenti specifici (ad esempio PDF) da Internet che contengono programmi nascosti, ed aprendoli una volta scaricati.
A volte basta anche cliccare su links di email sospette!
In genere, una volta entrati ed installati nel tuo sistema, i rootkit si camuffano.
In pratica, modificano impostazioni del sistema per ingannare i tuoi programmi di difesa (antivirus e antimalware) per non essere individuati. Senza entrare troppo nei dettagli, sappi che ci sono diversi modi con cui i rootkit si mimetizzano, e per questo riescono a sfuggire ad antivirus e antimalware.
Come Difendersi Dai Rootkit?
Innanzitutto, è sempre meglio prevenire, seguendo le regole di base per la protezione dai virus.
Ma a differenza di altri tipi di malware, i sintomi della presenza di rootkit sono estremamente difficili da notare, per cui potresti avere un rootkit nel tuo computer e non accorgertene.
Potresti magari percepire un calo nella velocità di Internet dovuto ad un aumento del traffico da e verso il tuo computer e all’uso della banda disponibile da parte del rootkit, ma è un sintomo estremamente vago che potrebbe benissimo derivare da mille altri motivi.
Anche se le estensioni dei file che i Rootkit generalmente infettano sono conosciute (.dat, .exe, _nav.dat, _navps.dat, .sys etc) a meno che tu sia un profondo conoscitore di Windows ti sarà impossibile capire dai file di sistema presenti nel tuo computer se c’è qualcosa di sospetto.
Il mio consiglio quindi è di effettuare periodicamente controlli con specifici programmi antirootkit.
Come già detto sopra infatti i rootkit sono in grado di sfuggire, nella stragrande maggior parte dei casi, ai comuni antivirus e antimalware, per cui servono programmi specificatamente creati per individuare i rootkit.
Ti suggerisco i seguenti programma antirootkit gratuiti:
- Malwarebytes AntiRootkit
- Kaspersky TDSSKiller
- GMER
- RootRepeal
- Avast Anti-Rootkit
- Sophos Anti-Rootkit
- Bitdefender Rootkit Remover
Conclusioni
In questa lezione hai imparato che cosa sono i rootkit.
Ora sai che rappresentano un grande pericolo per il tuo computer, e che sono quasi impossibili da scoprire ad occhio nudo o con i comuni programmi.
Per questo ti consiglio di scansire periodicamente il tuo computer con specifici strumenti antirootkit.
Nelle prossime lezioni ti spiego come usare al meglio questi programmi.
antonio dice
grazie
chiaro e dettagliato
Anonimo dice
molto interessante, non solo questo articolo ma tutto ciò che ho trovato nel vostro sito, grazie ! 🙂
roby dice
ok grazie ho appreso
paolo dice
molto interessante . grazie