Os rootkits estão entre os malwares mais sinistros que existem – a definição de rootkit é que ele infesta as partes mais profundas do sistema do seu computador (a “raiz”) para obter controle total e permitir acesso remoto. Aprenda a detectar rootkits e como um software de segurança especializado pode ajudar a manter seus dispositivos seguros.
Um rootkit é um aplicativo que se esconde profundamente em seu sistema de arquivos e dá à outra pessoa acesso total ao seu computador sem você saber. Os rootkits se escondem nas camadas mais baixas do sistema operacional, tornando-os quase indetectáveis pelas verificações antimalware comuns.
De onde veio o nome e a definição de “rootkit”? Nos sistemas operacionais Unix e Linux, a conta com privilégios totais e acesso irrestrito (semelhante à conta de administrador no Windows) é chamada de raiz. Portanto, um kit que concede acesso privilegiado a um computador ou dispositivo móvel é um rootkit. Ele permite que alguém controle seu dispositivo remotamente sem o seu conhecimento.
Os rootkits permitem que hackers obtenham acesso remoto ao seu computador, que podem usar para assumir o controle do seu sistema e extrair o máximo de informações possível. Por meio de um rootkit, um hacker pode roubar dados pessoais e informações financeiras, instalar malware ou conectar seu computador a uma botnet para distribuir spam ou participar de ataques DDoS (negação de serviço distribuída).
Um rootkit não é um vírus, porque um vírus espalha cópias de si mesmo para causar danos ao sistema. Um rootkit não se replica – ele pode roubar suas informações e assumir o controle sem nuncater a intenção de causar danos.
Embora um rootkit não seja um vírus, você ainda pode contar com um aplicativo antivírus para ajudar a detectá-los e bloqueá-los. Instale o AVG AntiVirus FREE como sua primeira linha de defesa contra rootkits maliciosos e muitos outros tipos de ameaças maliciosas.
Sim, um rootkit é um tipo de malware (abreviação de “software malicioso”) projetado especificamente para manter acesso administrativo privilegiado a um sistema. Os rootkits são frequentemente usados para realizar outras atividades maliciosas, como roubar dados, danificar seu computador, exigir resgates ou esgotar seus recursos.
Outros exemplos de malware incluem vírus, trojans, spyware, worms e ransomware. Assim como esses tipos de malware, os rootkits geralmente precisam ser removidos manualmente.
Os rootkits vêm de arquivos maliciosos que você baixa inadvertidamente ao clicar em um arquivo infectado. Esses arquivos contêm instruções ocultas que fazem alterações no seu computador. Um arquivo infectado pode modificar seu kernel – a parte mais profunda do seu sistema operacional – e plantar um rootkit lá.
Um rootkit geralmente se infiltra em seu sistema operacional como parte de uma ameaça combinada que contém três partes distintas de código malicioso: um dropper, um carregador e o rootkit. Juntos, esses componentes fornecem a um invasor acesso remoto ao seu PC sem o seu conhecimento.
Aqui está uma visão detalhada de como um rootkit chega ao seu computador:
Você clica em um link infectado.
O link infectado pode estar em um e-mail estranho ou em um site infectado. Mesmo que você não salve o arquivo, ele será armazenado em seus arquivos temporários e iniciará o dropper.
Um script malicioso está incorporado no arquivo.
O dropper executa o código malicioso que contorna suas defesas de segurança.
O script explora sua máquina.
O dropper ativa o carregador, depois exclui a si mesmo. O carregador funciona para inserir o rootkit no sistema – geralmente via buffer overflow, um método de execução que envolve sobrecarregar seu computador com instruções para que elas fiquem “fora dos limites”, fazendo com que as instruções transbordem para locais específicos.
O script insere código malicioso em áreas sensíveis.
Um pouco dos dados transbordados “pousa” nas áreas críticas do sistema operacional – o fluxo exagerado do buffer confunde o computador, fazendo com que ele altere valores em locais onde não deveria. Isso cria um backdoor para a carga útil final do rootkit .
O código malicioso concede acesso remoto com sucesso.
O código do rootkit executa ações em nível de administrador sem passar pelas verificações de segurança usuais, alterando permissões e concedendo acesso a um usuário remoto.
Um hacker infecta seu computador com um dropper, um carregador e, por fim, um rootkit.
Aqui estão algumas maneiras pelas quais os rootkits comumente se espalham:
Links suspeitos em e-mails de phishing
Um cavalo de Troia ou outro malware discreto
Software corrompido baixado de um site não oficial
Software malicioso aproveitando downloads legítimos
Mídia pirateada, como filmes, PDFs, e-books e muito mais
Plug-ins ou complementos de navegador anunciados para adicionar recursos
Se você praticar uma boa higiene digital ao baixar e instalar software ou abrir anexos, um rootkit não deverá entrar no seu computador. Como sempre, uma das melhores defesas que você pode ter é o bom senso.
Executar uma verificação durante a inicialização, como a da ferramenta de verificação de rootkit do AVG, é uma maneira eficaz de detectar rootkits. Essas verificações verificam rootkits e outros malwares antes que o sistema operacional seja totalmente carregado. Você pode querer verificar se há uma infecção por rootkit se notar alterações incomuns no sistema ou aumentos inexplicáveis no tráfego de rede.
Às vezes, os rootkits podem escapar da detecção, principalmente por permanecerem invisíveis para ferramentas antimalware básicas integradas. Isso ocorre porque os rootkits são projetados para alterar as funções fundamentais de segurança incorporadas ao software do seu computador.
Neste caso, uma análise de descarregamento de memória também pode ser necessária. Um descarregamento de memória é um instantâneo de todos os dados que seu computador está usando atualmente, e analisá-lo pode revelar comportamentos que não deveriam estar presentes, incluindo sinais de um rootkit.
Rootkits são realmente bons em se esconder. Então, às vezes, você tem que procurar sinais e então decidir sobre uma análise de descarregamento de memória de acordo.
Aqui estão alguns sinais de que você tem um rootkit:
Mensagens de erro frequentes do Windows ou telas azuis da morte
Solicitações constantes para reiniciar seu PC
Comportamento incomum do navegador da web, como redirecionamento de link do Google
Favoritos não reconhecidos
Lentidão do computador
O dispositivo congela ou comportamento estranho do mouse ou teclado
Mau funcionamento da página da Web ou da atividade da rede devido ao tráfego excessivo da rede
Alterações aleatórias nas configurações do Windows sem sua permissão
Antes de suspeitar de rootkits e executar análises desnecessárias, você deve descartar um disco rígido com falha, um sistema de arquivos desordenado ou outra infecção por malware. Se ainda tiver problemas, você pode ter um rootkit, afinal.
Geralmente é necessária uma ferramenta especializada para remover um rootkit. Como um rootkit compromete o próprio sistema operacional, você não deve confiar em recursos de segurança integrados para realizar o trabalho. Você precisará de software de segurança de terceiros com capacidade de penetrar onde o rootkit se instalou.
O software antivírus é baseado em “assinaturas”, padrões conhecidos de comportamento que indicam malware. Eles são constantemente atualizados à medida que novas informações sobre vírus surgem, por isso recomendamos verificações regulares. Observe que uma verificação de rootkit geralmente leva mais tempo do que uma verificação normal de malware e você não poderá usar o computador enquanto a verificação estiver ocorrendo.
Veja como remover um rootkit do seu PC:
Instale um antivírus confiável, como o AVG Antivirus FREE, que inclui um scanner de rootkit e uma ferramenta de remoção.
Execute uma verificação de inicialização para verificar se há rootkits antes que o sistema operacional Windows possa carregar.
Siga as instruções na tela para iniciar o processo de remoção do rootkit.
Se o antivírus não conseguir remover o rootkit completamente, você pode reformatar seu disco rígido. Isso significa excluir tudo do disco rígido, portanto, considere este o último recurso e faça backup de tudo com antecedência. Em casos muito raros, um rootkit pode permanecer na BIOS, não importa o que você faça. Consulte um especialista neste caso.
Os tipos de rootkit diferem com base em quanto acesso ao sistema eles têm, quais áreas do sistema eles afetam e quão bem eles se escondem da detecção. Aqui está uma visão geral dos tipos comuns de rootkits e como eles diferem uns dos outros:
Os rootkits no modo kernel operam no núcleo de um sistema operacional (nível do kernel) e causam falhas frequentes no sistema. Geralmente é assim que o pessoal de suporte da Microsoft determina que o dispositivo da vítima foi infectado por um rootkit.
Um invasor primeiro explora o sistema de um usuário carregando malware no kernel, que então intercepta chamadas do sistema ou adiciona seus próprios dados, filtrando quaisquer dados retornados pelo malware que possam desencadear a detecção. O malware baseado em kernel pode ser usado para encobrir rastros e ocultar ameaças tanto dentro do kernel quanto em componentes de modo de usuário.
Os rootkits no modo de usuário iniciam como um programa normalmente durante a inicialização do sistema ou são injetados no sistema por meio de um dropper. Eles fornecem funcionalidades semelhantes aos rootkits em modo kernel, como mascarar e desabilitar o acesso a arquivos, mas operam no nível do usuário. Os rootkits no modo usuário não são tão furtivos quanto no modo kernel, mas devido à sua simplicidade de implementação, são muito mais difundidos.
Rootkits de modo de usuário são populares em malware financeiro. Carberp, uma das variedades de malware financeiro mais copiadas devido ao seu código-fonte vazando online, foi desenvolvido para roubar dados bancários e dados confidenciais das vítimas. Tenha cuidado com e-mails de spam que afirmam ser lembretes de pagamento ou faturas.
Rootkits híbridos combinam características de modo de usuário e modo kernel. Essa abordagem é um dos rootkits mais populares entre os hackers devido à sua alta taxa de sucesso na penetração de computadores.
Os rootkits do bootloader têm como alvo os blocos de construção do seu computador, infectando o registro mestre de inicialização, uma parte fundamental que instrui o seu computador sobre como carregar o sistema operacional.
Rootkits de firmware são um tipo sofisticado de malware que pode se esconder no firmware – como um microprocessador ou roteador – quando o computador é desligado. Então, quando o computador for reiniciado, o rootkit se reinstalará.
Os rootkits baseados em máquinas virtuais transportam um sistema operacional para um ambiente virtual de modo que o rootkit, juntamente com o ambiente virtual, não possam ser descobertos ou sejam extremamente difíceis de detectar. Um rootkit baseado em máquina virtual (VMBR) carrega-se sob o sistema operacional existente e, em seguida, executa o sistema operacional como uma máquina virtual. Dessa forma, um VMBR pode passar despercebido, a menos que ferramentas especiais sejam usadas para procurá-lo.
Um rootkit de aplicativo modifica arquivos regulares e só é ativado quando um determinado aplicativo é executado. Aparentemente, o aplicativo ainda está funcionando normalmente. Em segundo plano, o rootkit ganhou permissões de dispositivo, permitindo que outra pessoa faça o que quiser no seu computador.
Os rootkits de memória existem na RAM, que é limpa toda vez que você reinicia o computador. Como tal, esses rootkits só são eficazes por um curto período de tempo. No entanto, eles são igualmente bons em se esconder e capazes de causar estragos. Eles podem ser usados para sugar seus recursos e espalhar malware como parte de uma botnet.
Aqui estão alguns exemplos comuns de ataques de rootkit, desde o nascimento do malware rootkit até hoje:
O primeiro rootkit (1990): O primeiro caso documentado de rootkit foi registrado por Stevens Dake e Lane Davis, em nome da Sun Microsystems para o SunOS Unix OS.
Greek Watergate (2004–2005): Um rootkit que infectou centrais telefônicas Ericsson AXE na rede grega Vodafone e tinha como objetivo grampear telefones de funcionários do governo grego e funcionários públicos de alto escalão.
Rootkit de proteção contra cópia Sony BGM (2005): A Sony BMG instalou secretamente rootkits em milhões de CDs para evitar que os compradores gravassem cópias de CDs e para informar a empresa sobre o que esses clientes estavam fazendo. Isso também abriu involuntariamente caminho para que outros malwares se infiltrassem em PCs com Windows sem serem vistos.
Zeus (2007): Zeus é um rootkit cavalo de Troia desenvolvido para roubar informações bancárias — um rootkit que rouba informações bancárias usando registro de teclas e captura de formulários man-in-the-browser.
NTRootkit (2008): Um dos primeiros rootkits maliciosos para Windows, existem diferentes versões do NTRootkit que fazem coisas diferentes. Um tipo captura as teclas digitadas, o que ajuda os hackers a roubar nomes de usuário e senhas para acessar serviços confidenciais.
Machiavelli (2009): Machiavelli foi o primeiro rootkit direcionado ao Mac OS X e criou chamadas de sistema e threads de kernel ocultos.
Stuxnet (2010): O Stuxnet foi o primeiro rootkit feito para atacar um sistema de controle industrial.
Flame (2012): O malware de computador Flame ataca PCs com Windows e pode gravar atividades do teclado, capturar a tela, áudio e tráfego de rede, além de outras coisas.
LoJax (2018): LoJax é um rootkit de firmware que pode permanecer em um sistema mesmo durante a reinstalação do Windows e a formatação do disco rígido.
Scranos (2019): Este rootkit tem como alvo suas informações pessoais extraindo métodos de pagamento do seu navegador. Scranos também usa os recursos do seu computador para gerar cliques, gerando artificialmente contagens de visualizações em vídeos do YouTube como forma de ganhar dinheiro.
CosmicStrand (2022): Esse rootkit de firmware é tão difícil de detectar que os especialistas em segurança cibernética não têm certeza de como ele chegou aos computadores. Pode até haver versões de CosmicStrand que ainda não foram encontradas. Ele tem sido usado principalmente contra alvos de alto perfil, e não contra o usuário médio de computador.
BlackLotus (2022): Surgindo pela primeira vez em 2022, BlackLotus foi capaz de superar versões totalmente corrigidas do Windows 11 e seu recurso Secure Boot.
Uma linha do tempo de alguns dos ataques de rootkit mais conhecidos.
Você pode ajudar a se proteger contra rootkits com um software antivírus forte e seguindo os princípios de segurança do site. O bom senso na Internet é algo que você desenvolve ao longo do tempo. Até então, aqui estão algumas regras básicas que podem ajudá-lo a se proteger contra rootkits e outras ameaças maliciosas:
Não abra anexos de e-mail de remetentes desconhecidos.
Não baixe arquivos desconhecidos nem clique em links suspeitos.
Cuide para que o software do seu sistema esteja devidamente corrigido contra vulnerabilidades conhecidas, instalando atualizações de software quando elas estiverem disponíveis.
Baixe e instale o novo software com cuidado, certificando-se de que seja legítimo e de que não haja sinais de alerta no EULA (contrato de licença do usuário final).
Use unidades externas e pen drives com cuidado e não insira unidades desconhecidas.
Faça uma varredura em seu sistema regularmente para verificar se há malware.
Baixe aplicativos e software apenas de fontes confiáveis, sites oficiais e lojas de aplicativos licenciadas.
Fique atento a mudanças incomuns no desempenho.
As estratégias para ajudar a evitar rootkits também são hábitos sensatos que o ajudarão a proteger sua vida digital. Você pode montar uma defesa ainda mais forte contra rootkits instalando um antivírus robusto como o AVG AntiVirus FREE.
O AVG AntiVirus FREE verifica malware em todo o sistema, desde o navegador até as raízes do sistema operacional. Além do mais, ele irá ajudá-lo a encontrar e remover alguns dos malwares mais insidiosos e profundamente enraizados no seu dispositivo – e, claro, fornecerá uma proteção poderosa para ajudá-lo a evitar uma infecção por rootkit em primeiro lugar.
Privacidade | Reportar vulnerabilidade | Contatar segurança | Contratos de licença | Sobre Trabalho Escravo Contemporâneo | Cookies | Declaração de acessibilidade | Não vender minhas informações | | Todas as marcas comerciais de terceiros pertencem a seus respectivos proprietários.
