Colunista explica como e por quem são usados esses programas.

Entre os vários tipos de pragas digitais encontra-se um tipo especial: os rootkits. O propósito deles, no Windows, é “defender” os demais códigos maliciosos (vírus, cavalos de troia, worms) que são instalados, tornando-os indetectaveis. Com isso, as ferramentas de proteção e remoção não conseguem realizar seu trabalho, e as pragas ficam por mais tempo no computador da vítima.

Mais do que isso, porém, é o “comportamento” de rootkit. Além de vírus, programas considerados legítimos usam as mesmas técnicas que os rootkits, muitas vezes com o intuito se “defender” do próprio usuário ou de mecanismos de segurança indesejados. Conheça esses programas complexos e saiba como e por quem são utilizados.

O termo “rootkit” tem origem em kits de códigos maliciosos para sistemas Unix (como Linux, BSD e outros). São programas cuja função se realiza após uma invasão de sistema, usados pelo hacker para manter acesso remoto não autorizado ao sistema que foi invadido, escondendo a invasão e os programas maliciosos deixados.

Para que o dono do computador não desconfie da existência de um programa que dá a um hacker o controle do sistema, os programas do “kit” do rootkit substituem componentes do sistema operacional. Com isso, sempre que o responsável tentar listar arquivos, pastas e programas na inicialização, qualquer menção ao software malicioso é retirada, garantindo que o hacker não seja detectado, nem perca seu acesso ao computador da vitima.

As primeiras tentativas de esconder a presença do invasor em um sistema invadido datam pelo menos de 1989, quando o código fonte de um programa capaz de esconder os logins das contas de usuário comprometidas começou a circular. O Linux, por sua vez, foi alvo de rootkits avançados já em 1996, com o lançamento do “Linux Rootkit 3” (lrk3).

O chkrootkit é um programa que detecta rootkits em sistemas Unix. Mais de 60 tipos diferentes de códigos maliciosos são detectados, alguns deles não exatamente rootkits. Os principais desenvolvedores da ferramenta são brasileiros. O criador, Nelson Murilo, participa do podcast de segurança I shot the sheriff.

No Windows, os códigos que tentam ficar invisíveis (e esconder outros vírus) também receberam o nome de “rootkits”. Mas isso só em 1999, pela mão de Greg Hoglund, que publicou o “NT Rootkit”.

O NT Rootkit faz com que um arquivo malicioso simplesmente desapareça de qualquer listagem. No Gerenciador de Tarefas do Windows, o processo não está lá. Esse sintoma é comum a todos os rootkits. O que muda é como esse resultado é obtido.

É também é errado dizer que até 1999 os vírus para sistemas Microsoft não tentavam se esconder. Junto com os rootkits para sistemas Unix, os vírus para MS-DOS, por volta de 1990, também tentavam interceptar os comandos de sistema para excluir qualquer informação que poderia indicar a presença de uma infecção. Embora, em princípio, as técnicas usadas para se esconder sejam semelhantes, no Windows a situação é bem diferente da do MS-DOS.

Os rootkits para Windows usam técnicas tão avançadas que ainda hoje muitos antivírus têm problemas para detectar e identificar alguns vírus – o que nunca acontece, no mesmo nível, com os vírus de MS-DOS.

Depois do NT Rootkit, o Windows ganhou os rootkits Hacker Defender (2002), Haxdoor (2003) e FU (2004). O mais complexo era o Hacker Defender, que, como o nome sugere, buscava, de todas as maneiras, impedir que o hacker fosse detectado após a invasão de um sistema. No entanto, o Hacker Defender não era malicioso por si só. Ele precisava ser acompanhado de outros códigos maliciosos, que realmente realizavam as funções desejadas pelo invasor.

O Haxdoor, por sua vez, já permitia o acesso remoto ao computador infectado. O FU era como o Hacker Defender, mas um pouco mais simples. O Haxdoor e o FU foram muito comuns em 2004 e 2005. O Hacker Defender, porém, ganhou notoriedade porque seu autor decidiu vender versões personalizadas do rootkit, chamadas versões “gold”. O Hacker Defender Gold prometia ser totalmente indetectável, pois além de se esconder do sistema, também se escondia das ferramentas antirootkit.

Para conseguir essa “invisibilidade”, os rootkits normalmente precisam grampear funções do Windows, sendo instalados como drivers. A programação de drivers é complicada, porque qualquer erro pode gerar um congelamento total do sistema ou uma tela azul da morte. O rootkit TDSS, comumente instalado por páginas web infectadas, era incompatível com uma atualização do Windows.

Hoje, muitos códigos maliciosos incluem algum tipo de rootkit. O próprio TDSS não é um rootkit em si, e sim um código malicioso que, entre outras coisas, esconde sua presença no sistema. O rootkit passa a ser, portanto, apenas um componente do código malicioso.

Legítimos, mas nem tanto
Se você é um usuário avançado, provavelmente utiliza algum software que faz (ou fez) uso de rootkits. É o caso, por exemplo, do Daemon Tools, programa usado para ter drives virtuais no Windows. Alguns jogos se recusam a executar se o Daemon Tools está em execução e, por isso, algumas versões do Daemon são capazes de “sumir”, impedindo que a emulação seja detectada.

Rootkits são às vezes usados por trapaceadores em jogos on-line, para que os mecanismos antitrapaça não consigam detectar que algum programa de cheat em uso. Quando um programa desse tipo é detectado, alguns jogos se recusam a iniciar.

Os antivírus da Kaspersky e da Symantec também usam técnicas de rootkit para impedir que vírus interfiram na operação do programa. Alguns softwares usados por bancos brasileiros também já apresentaram comportamento semelhante ao de rootkits para tentar se defender dos vírus ladrões de senha, que sempre, ao infectarem o sistema, tentam remover os programas de proteção.

Os avanços em rootkits não param. Agora, novas tentativas de desenvolvimento estão sendo feitas para criar “bootkits” – que sao rootkits que se iniciam junto com o sistema operacional e que funcionam apesar de criptografia no disco rígido, por exemplo. Outro rootkit interessante é o “Blue pill”, ou “pílula azul”. O nome, em referência direta ao filme, coloca o computador numa espécie de “matrix” – tudo que o usuário vê passa a não ser real.

Mas também no Windows existem programas que se esforçam para detectar o maior número possível de rootkits. É o caso do GMER e do Rootkit Revealer, para citar dois gratuitos. Algumas companhias antivírus, que ofereciam ferramentas antirootkit, não o fazem mais. Em vez disso, incluem a tecnologia no próprio antivírus. É o caso da F-Secure e da AVG. A Sophos ainda distribui o seu Sophos Anti-Rootkit gratuitamente.

Esses programas usam diferentes modos para poder detectar os rootkits. O Rootkit Revealer, por exemplo, faz uma análise completa no disco rígido manualmente, sem usar as funções do Windows, e compara os resultados com os retornados pelo sistema operacional. O que houver de diferente pode ter sido escondido por um rootkit.

Nem sempre um resultado numa dessas ferramentas significa que há algo de errado. Mas vale a pena executá-las se você suspeita que seu computador possa estar hospedando uma dessas ameaças invisíveis.

Fonte e Imagens : G1