Para Strider Ghostbuster, um protótipo desenvolvido pelo ‘Cybersecurity and Systems Management Research Group’ da Microsoft, oferece uma maneira de detectar rootkits no Windows comparando os resultados da pesquisa entre um sistema limpo e outro potencialmente comprometido.
O QUE SÃO ROOTKITS? Rootkits são inimigos invisíveis. Um tipo de malware comum nos computadores Unix e Linux, agora está a tornar-se mais frequente e sofisticado no mundo Windows, de acordo com a própria Microsoft.
Os chamados rootkits são de difícil detecção e podem proporcionar a um hacker o controlo total sobre o computador. A Microsoft chamou a atenção pela primeira numa conferência sobre segurança em Fevereiro. Em seguida, a empresa de utilitários Sysinternals lançou um detector de rootkits RootkitRevealer e a F-Secure lançou uma versão beta do Blacklight, um detector e removedor de rootkit que será incorporado nas próximas versões dos seus programas de segurança.
Como os cavalos-de-tróia, os rootkits instalam-se a si mesmo ao explorar vulnerabilidades na segurança de redes do computador ou sobrepõem-se a mensagens de e-mail ou programas retirados da net. Com frequência, abrem passagens secretas para os seus “mestres remotos”, que podem estar à procura de números de cartões de crédito, plataformas com conexão em banda larga para envio de spam ou da simples diversão de invadir. Mas, ao contrário dos cavalos-de-tróia comuns, os rootkits infiltram-se num nível mais profundo do sistema operativo, usando privilégios de segurança para se esconder de modo mais eficiente.
Como o gato e rato Capturar rootkits, assim como detectar vírus e worms, é uma brincadeira de gato e rato. Logo depois que a FSecure lançou o Blacklight, o autor de um rootkit chamado Hacker Defender postou na web um vídeo no qual uma nova versão de seu rootkit derrotava o Blacklight e várias outras ferramentas de defesa, inclusive o RootkitRevealer.
Tendo em vista que os rootkits podem agir com programas spyware, vírus e demais malwares em ameaças combinadas, os fornecedores de segurança estão a afinar as ferramentas de que vão precisar para os detectar. Segundo Russ Cooper, fundador e responsável pela newsletter NTBugtraq, é uma boa ideia pesquisar os tipos de técnica que os rootkits usam. Mas Cooper não acha que as infecções por rootkits estejam a aumentar. “Os rootkits não estão mais populares hoje do que antes”, acredita. Quanto às ferramentas de remoção de rootkit, Cooper afirma que só uma pessoa com muito pouco conhecimento tentaria remover um rootkit. Ele acrescenta que um remédio certeiro é limpar o disco rígido e reinstalar o sistema operativo.
Mikko Hypponen, director de pesquisa de antivírus da F-Secure, concorda com Cooper, mas observa que o Blacklight é capaz de agir em situações para as quais não há nenhum bom backup conhecido disponível.
Os detectores de rootkit e os programas antivírus vão continuar a procurar maneiras de vencer os hackers. No momento, porém, ferramentas de segurança convencionais, como uma boa firewall e protecção antivírus actualizada, são as melhores defesas contra essas ameaças.