- Learn
- Guida rimozione malware
- I Rootkit
I Rootkit
Ci sono moltissimi trojan e backdoor che sfruttano i rootkit per sfuggire alle scansioni dei software antimalware. Il compito di un rootkit è quello di occultare determinate informazioni, determinati oggetti (quali che siano) all’utente.
Per poter occultare in maniera perfetta gli oggetti, le connessioni, i file o le informazioni i rootkit agiscono ad un livello molto profondo del sistema operativo stesso, andando ad installarsi come parte integrante di esso. Di cui la difficoltà nell’eliminazione.
La lotta ai Rootkit rappresenta un duro ostacolo per le utenze meno pratiche, ma al giorno d’oggi alcuni software gratuiti possono venire in aiuto dell’utenza media: RootkitRevealer e Blacklight sono due esempi che hanno comunque dei limiti. Analizziamoli entrambi e vediamo come utilizzarli al meglio per la protezione del nostro Pc.
RootkitRevealer della Sysinternals è stato scritto da Mark Russinovich, lo scopritore del famigerato Rootkit utilizzato dalla Sony. L’utilizzo di tale programma non dovrebbe rappresentare un problema, non necessita nemmeno dell’installazione, e può essere lanciato anche da supporti removibili. Si occupa di scansionare il filesystem di tutte le unità presenti nel sistema alla ricerca dei file e chiavi nascoste, si occupa anche dell’analisi degli Alternate Data Streams
Blacklight Rootkit Eliminator è prodotto e distribuito da F-Secure in maniera totalmente gratuita sino al 1 Ottobre 2007, ma non è detto che la data non venga prorogata. Nemmeno questo software necessita di installazione, tuttavia non verrà effettuata l’analisi degli ADS. Blacklight da’ la possibilità di rinominare eventuali file mascherati in modo da inibire il funzionamento del processo al successivo riavvio del sistema.
Uno dei pochi modi veramente efficaci per la rimozione dei Rootkit sembra però essere quello messo a punto da casa Microsoft attraverso il suo Strider Ghostbuster project. Purtroppo non è ancora ben chiaro se il progetto rimarrà un esperimento interno alla casa di Redmond oppure vedrà la luce come prezioso tool messo a disposizione di tutte le utenze. Non c’è possibilità alcuna di testarlo, al momento.
Strider Ghostbuster basa il suo funzionamento su una analisi offline del sistema, poiché abbiamo visto come nessuna funzione possa essere intercettata con massima accuratezza e precisione. Esegue una prima scansione del disco del sistema in esecuzione utilizzando le medesime API dei programmi che abbiamo prima citato. Si riavvia il sistema attraverso un CD sicuramente non infetto in grado di leggere autonomamente i filesystem. Eseguendo nuovamente una scansione e memorizzandone i risultati. A questo livello i rootkit non operano, infine le differenze tra i due risultati vengono confrontate e segnalate come potenziali minacce.
Si tratta senza dubbio di un progetto interessante che speriamo si evolva nella direzione che tutti auspichiamo.
Se vuoi aggiornamenti su I Rootkit inserisci la tua email nel box qui sotto:
Compilando il presente form acconsento a ricevere le informazioni relative ai servizi di cui alla presente pagina ai sensi dell'informativa sulla privacy.
La tua iscrizione è andata a buon fine. Se vuoi ricevere informazioni personalizzate compila anche i seguenti campi opzionali:
Compilando il presente form acconsento a ricevere le informazioni relative ai servizi di cui alla presente pagina ai sensi dell'informativa sulla privacy.
I Video di HTML.it
Giorgio Sadolfo
I vantaggi introdotti da Windows Server 2012