I Rootkit

Ci sono moltissimi trojan e backdoor che sfruttano i rootkit per sfuggire alle scansioni dei software antimalware. Il compito di un rootkit è quello di occultare determinate informazioni, determinati oggetti (quali che siano) all’utente.

Per poter occultare in maniera perfetta gli oggetti, le connessioni, i file o le informazioni i rootkit agiscono ad un livello molto profondo del sistema operativo stesso, andando ad installarsi come parte integrante di esso. Di cui la difficoltà nell’eliminazione.

La lotta ai Rootkit rappresenta un duro ostacolo per le utenze meno pratiche, ma al giorno d’oggi alcuni software gratuiti possono venire in aiuto dell’utenza media: RootkitRevealer e Blacklight sono due esempi che hanno comunque dei limiti. Analizziamoli entrambi e vediamo come utilizzarli al meglio per la protezione del nostro Pc.

RootkitRevealer della Sysinternals è stato scritto da Mark Russinovich, lo scopritore del famigerato Rootkit utilizzato dalla Sony. L’utilizzo di tale programma non dovrebbe rappresentare un problema, non necessita nemmeno dell’installazione, e può essere lanciato anche da supporti removibili. Si occupa di scansionare il filesystem di tutte le unità presenti nel sistema alla ricerca dei file e chiavi nascoste, si occupa anche dell’analisi degli Alternate Data Streams

Blacklight Rootkit Eliminator è prodotto e distribuito da F-Secure in maniera totalmente gratuita sino al 1 Ottobre 2007, ma non è detto che la data non venga prorogata. Nemmeno questo software necessita di installazione, tuttavia non verrà effettuata l’analisi degli ADS. Blacklight da’ la possibilità di rinominare eventuali file mascherati in modo da inibire il funzionamento del processo al successivo riavvio del sistema.

Uno dei pochi modi veramente efficaci per la rimozione dei Rootkit sembra però essere quello messo a punto da casa Microsoft attraverso il suo Strider Ghostbuster project. Purtroppo non è ancora ben chiaro se il progetto rimarrà un esperimento interno alla casa di Redmond oppure vedrà la luce come prezioso tool messo a disposizione di tutte le utenze. Non c’è possibilità alcuna di testarlo, al momento.

Strider Ghostbuster basa il suo funzionamento su una analisi offline del sistema, poiché abbiamo visto come nessuna funzione possa essere intercettata con massima accuratezza e precisione. Esegue una prima scansione del disco del sistema in esecuzione utilizzando le medesime API dei programmi che abbiamo prima citato. Si riavvia il sistema attraverso un CD sicuramente non infetto in grado di leggere autonomamente i filesystem. Eseguendo nuovamente una scansione e memorizzandone i risultati. A questo livello i rootkit non operano, infine le differenze tra i due risultati vengono confrontate e segnalate come potenziali minacce.

Si tratta senza dubbio di un progetto interessante che speriamo si evolva nella direzione che tutti auspichiamo.