Tutorial Segurança / RottKits

É conhecido como Rootkit um conjunto (kit) de programas de variadas funcionalidades, tais como: malware, como cavalos de tróia, keyloggers, ferramentas de ataque de negação de serviço, etc.

Conheça e aplique as 10 Régras básicas e simples de proteção para seu dia-a-dia.Aplicando essas 10 régras ao navegar pela Internet, ler e-mails, fazer downloads, instalar programas, clicar em links ou visitar sites, dificilmente seu computador ou notebook será infectado. Leia...

Assuntos relacionados: Saiba os detalhes de como agem os;
/ VírusSaiba o que são vírus de computador e telefone celular, e como se proteger dessa quase sempre destruidora ameaça. Leia... / Spyware e AdwareSaiba o que são Spywares, e como se proteger dessa incomoda e irritante praga virtual que invade a sua privacidade. Leia... / Trojan (Cavalo de Tróia)Saiba o que são Trojans, tambem conhecidos como Cavalo de Tróia, e principalmente como se proteger para não ser infectado e ter o seu computador controlado por um invasor. Leia... / BackdoorSaiba o que são Backdoors, e como se proteger no seu dia-a-dia, para evitar que um invasor domine o seu computador e o torne um Zumbi a seu serviço. Leia... / KeyloggerConheça como age o Keylogger (capturador de teclado) e evite ser infectado por esse tipo de programa. Proteja sua privacidade. Leia... /

/ RootkitRootKit é um conjunto de programas que um invasor instala no seu computador. A partir daí o invasor terá acesso privilegiado (root/Administrador). Leia... / WormO Worm se propaga através de redes, enviando cópias de si mesmo. Leia... / Bot e BotnetSaiba como evitar que um bot ou botnet seja instalado em seu computador sem seu consentimento, tornando-o um Zumbi. Leia... / Computador ZumbiConheça o que é um computador Zumbi e como evitar ser um deles. Leia... /

O que são, como agem e quais os programas que compõem um RootKit, e como evitar sua instalação e propagação

O que são Rootkits e como agem?

Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido.
O conjunto de programas que fornece estes mecanismos é conhecido como Rootkit.
É muito importante ficar claro que o nome Rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo.
Isto significa que o invasor, após instalar o Rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.

Que funcionalidades um Rootkit pode conter?

Um Rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podem ser citados:
* programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os Rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;
* Backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos Rootkits);
* Programas para remoção de evidências em arquivos de Logs;
* Sniffers, para capturar informações na rede onde o computador está localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
* Scanners, para mapear potenciais vulnerábilidades em outros computadores;
* outros tipos de Malware, como Cavalos de Tróia, Keyloggers, ferramentas de ataque de negação de serviço, etc.

Como posso saber se um Rootkit foi instalado em um computador?

Existem programas capazes de detectar a presença de um grande número de Rootkits, mas isto não quer dizer que são capazes de detectar todos os disponíveis (principalmente os mais recentes).
Alguns destes programas são gratuitos e podem ser obtidos pela Internet (antes de obter um programa para a detecção de Rootkits pela Internet, verifique sua procedência e certifique-se que o fabricante é confiável).
Como os Rootkits são projetados para ficarem ocultos, ou seja, não serem detectados pelo responsável ou pelos usuários de um computador, sua identificação é, na maioria das vezes, uma tarefa bem difícil. Deste modo, o melhor é procurar evitar que um rootkit seja instalado em seu computador.

Como posso proteger um computador dos Rootkits?

Apesar de existirem programas específicos para a detecção de Rootkits, a melhor forma de se proteger é manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correções de segurança (patches) disponíveis aplicadas, para evitar que possuam vulnerabilidades.
Desta forma, você pode evitar que um atacante consiga invadir seu computador, através da exploração de alguma vulnerabilidade, e instalar um Rootkit após o comprometimento.

Copyright © 2000-2006 CERT.br
Este texto foi extraido da Cartilha de Segurança para internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em: http://cartilha.cert.brSite do Cert.br....
Obs: A HostMaior Incluiu e acrecentou alguns textos ao texto original do cert.br, mas em nenhum momento alterou ou modificou o verdadeiro teor da matéria, preservando e não distorcendo este ótimo tutorial desenvolvido pelo Cert.br.