Rootkit, o que é e como se proteger?

O que é rootkit?

Imagine que alguém entre dentro do seu computador, no seu sistema operacional, e até mesmo no seu disco rígido, consiga acesso para visualizar tudo que se passa por lá e, ainda por cima, tome o controle das ações da sua mão. Ou seja, você fica praticamente rendido.

Pois é mais ou menos isso que o rootkit faz. Como já citamos anteriormente, os rootkits são  softwares maliciosos perigosos, que entram no computador através de alguma ação dos usuários, infectando o sistema operacional e passando a ter acesso sobre ele, agindo como uma espécie de administrador. 

Isso significa que, ao executar este ataque cibernético, o hacker passará a ter acesso remoto sobre o equipamento afetado, podendo realizar diversas ações prejudiciais à vítima. 

Normalmente, ao entrar no sistema, o rootkit afeta o sistema operacional do dispositivo e o software, porém, ele também pode ir mais a fundo e afetar o hardware e o firmware.

Outra característica bastante importante dos rootkits é que não é tão fácil assim detectar este  malware. Eles são criados justamente para se esconderem e passarem despercebidos dentro do sistema operacional e, por isso, são ameaças tão temidas. Enquanto os rootkits estão lá, escondidos, eles estão ativos e agindo com total controle sobre um computador. 

Eles podem estar escondidos atrás, inclusive, de programas e arquivos legítimos, por isso pode ser ainda mais difícil sua detecção. Como os rootkits estão com o acesso remoto das ações, eles podem fazer com que até mesmo um programa de busca e remoção de vírus, como ferramentas antivírus, não os reconheça como uma ameaça. Os rootkits são especialistas em se esconder e enganar todo o sistema para não serem encontrados. 

Também vale lembrar que os rootkits podem ameaçar tanto em computador de empresa como em máquinas particulares com sua presença.

Como o rootkit atua?

Agora que entendemos que o rootkit é um tipo de malware perigoso, que pode assumir o controle do seu computador, invadir sistemas, espionar suas atividades, roubar dados entre muitas outras ações, vamos entender como ele funciona na prática e qual é a finalidade de um rootkit. 

Em primeiro lugar, é importante entender que os rootkits se instalam no dispositivo dos usuários a partir de alguma ação sua. Isso significa que, assim como o Cavalo de Troia, por exemplo, os rootkits virão através de um arquivo ou programa que você baixa, um anexo que abre, um link que clicam, um sistema operacional que não foi atualizado e está vulnerável, e por aí vai. 

São muitas as possíveis portas de entrada para os rootkits, porém, será sempre preciso uma ação dos usuários para que ele se instale e, na maioria das vezes, fica até mesmo difícil de perceber que isso ocorreu. 

Pense em um golpe de phishing ou outro que envolva engenharia social. Uma mensagem que chega e que parece legítima e pede para executar alguma atividade. Ao fazer isso, a vítima está trazendo para dentro de seu dispositivo um rootkit.

Para a ação dos rootkits, são necessários processos com dois programas que os hackers utilizam. Um deles é o dropper e o outro o leader. O dropper vai importar os rootkits no computador ou celular. Já o loader vem em seguida, quando o dropper é executado. Neste momento os rootkits são instalados no sistema. 

Uma vez dentro e instalado, o rootkit passa a agir sem que o usuário perceba sua presença. Neste momento, os rootkits dão ao hacker responsável pelo ataque, o acesso total do sistema. Assim, ele pode monitorar completamente as atividades e realizar diversas tarefas.

Os rootkits podem fazer diversas alterações no sistema que permitem que eles atuem espionando os usuários e também utilizando keyloggers. Os keyloggers gravam a utilização do seu teclado e tela sem que as pessoas saibam, para roubar informações importantes como por exemplo dados de cartão de crédito e senhas, assim como informações bancárias. 

Os rootkits também podem utilizar os keyloggers para realizar ataques DDoS utilizando o seu computador, assim como o envio de mensagens spam a partir da sua caixa de entrada. 

Neste momento em que está atuando dentro do dispositivo, os rootkits também conseguem alterar as próprias configurações de segurança do aparelho. Com isso, sua detecção fica ainda mais difícil nos computadores, pois não é visto como uma ameaça. 

Resumindo, com o controle total do sistema invadido, os rootkits têm como alguns de seus objetivos:

• Espionar – Com um rootkit instalado, é possível acompanhar as atividades, suas preferências, rotina online, etc
• Roubar dados e informações privadas – Os dados mais comuns roubados por rootkits são senhas, logins, dados de cartão de crédito e dados bancários online.
• Realizar ataques DDoS – Seu dispositivo passará a ser parte de um ataque DDoS feito pelo hacker a outros dispositivos.
• Ocultar malware – Com a ocultação de malware, eles passam despercebidos pelos sistemas de proteção e podem agir livremente.
• Desativar sistemas de proteção – Um sistema de proteção desabilitado significa que seu computador ou celular estará mais vulnerável a novos ataques, além de tornar difícil a detecção do próprio rootkit como uma ameaça.

Tipos de rootkits

Como já vimos, o rootkit é um software malicioso que acaba assumindo o controle dos computadores do usuário para realizar atividades criminosas. 

Existem pouquíssimos casos em que o rootkit é utilizado para fins legítimos, como quando alguém de TI precisa assumir o controle do seu computador para alguma correção ou ajuste. Porém, na grande maioria, os rootkits são usados por cibercriminosos.

Vamos a seguir conhecer alguns tipos diferentes de rootkits que existem por aí e como cada um deles atua no sistema invadido. 

Rootkit de firmware

Este rootkit, como o próprio nome já indica, tem como objetivo atingir o firmware e não o sistema operacional do dispositivo. Assim, eles conseguem fazer a instalação de malware e fica muito difícil de detectá-los. Podemos dizer que este tipo de rootkit é um pouco menos comum, porém, oferece um grande risco ao usuário. 

Rootkit do carregador de inicialização

Nos rootkits do carregador de inicialização, o ataque ao sistema acontece com alteração do carregador de inicialização. Desta forma, o rootkit começa a agir já no momento de carregar o sistema. 

Rootkits de aplicativos

Os rootkits de aplicativos ficam disfarçados em programas legítimos, o que ativa o seu uso quando os programas são usados pelo usuário. A forma com que os rootkits de aplicativos atuam faz com que os programas funcionem de outra forma. Além disso, por eles estarem disfarçados nesses programas (que, inclusive, podem ser programas do pacote Microsoft Office), sua detecção fica ainda mais difícil. 

Rootkit de memória

Os rootkits de memória costumam ser um rootkit de mais curta duração que os demais. Como ele afeta a memória RAM do computador, quando o computador é reiniciado, eles normalmente desaparecem. Porém, mesmo assim, esses rootkits podem causar grandes estragos enquanto estão ativos. 

Rootkits em modo Kernel

O kernel é o núcleo do sistema operacional, assim, os rootkits em modo kernel afetam justamente este núcleo e, por isso, são considerados rootkits perigosos. Os rootkits de kernel podem também alterar toda a funcionalidade do sistema operacional do dispositivo. 

Rootkit virtual

Os rootkits virtuais atuam em um segundo plano do sistema. Ou seja, eles se instalam em segundo plano e hospedam sistemas operacionais como máquinas virtuais. Não há modificação do kernel nos rootkits virtuais. 

Rootkit user mode

Este é um tipo de rootkit onde os hackers responsáveis pelo ataque conseguem um alto nível de acesso dentro do sistema atingido. Ele é uma espécie de modelo híbrido, já que mistura alguns componentes do rootkit do kernel e outros de ações do usuário. 

Rootkit bootkit

Também chamados de boatloaders, os bootkits são um tipo de rootkit de difícil deteção, porém, que já não são tão modernos em comparação a outros rootkits e, por isso, afetam normalmente sistemas que são mais antigos ou então aqueles sem atualizações de segurança. 

Sinais comuns de rootkit

Os rootkits não são facilmente detectados, até mesmo por ferramentas antivírus, e isso não é uma boa notícia para a sua segurança virtual. Porém, não significa que o computador não possa dar alguns sinais que vão fazer com que o usuário desconfie que há algo errado e que podem haver rootkits agindo por lá. 

Em alguns casos, pode ocorrer de um rootkit estar atuando e o computador continuar com suas funções normalmente. Porém, ele pode sim dar alguns sinais que você deve ficar atento. Vamos listar abaixo alguns deles. Vale lembrar que esses sinais não necessariamente indicam que há uma infecção por rootkit, mas sim que vale uma investigação.

Perda do desempenho

Quando seu computador começa a funcionar mais lento que o habitual, demorando para realizar tarefas corriqueiras e para inicializar, pode ser sinal de rootkits. Neste caso, ele também pode travar com frequência ou não reconhecer a entrada do mouse ou do teclado quando tenta conectá-los. 

Tela azul

Quando aparece uma tela azul em seu computador, não é um bom sinal. O erro da tela azul é bastante característico do rootkit. Podem ocorrer também mensagens de erro do Windows nos computadores afetados.

Navegador com comportamento estranho

O rootkit pode fazer com que o navegador apresente alguns comportamentos estranhos como a abertura de algumas páginas não solicitadas, alterações na página inicial do navegador utilizado e também uma maior lentidão para carregar páginas na web.

Mudanças de configuração

Se você não alterou nada nas configurações do seu computador e isso acontecer sozinho, é um sinal para ficar atento aos rootkits. Podem ser mudanças na barra de tarefas, no protetor de tela, na aparência em geral do sistema ou até mesmo na data e hora.

Páginas web que não funcionam corretamente

Páginas que começam a não funcionar corretamente ou possuem um funcionamento que começa e para, também podem ser sinais de atenção aos rootkits.

Além desses sinais de rootkit, o ideal é ficar atento a qualquer mudança de comportamento que seu dispositivo tenha e logo fazer uma verificação de vírus de computador e malware. Assim, é possível identificar no início e não ter grandes prejuízos. 

Exemplos de rootkit

Os rootkits não são novidades no mundo virtual. Este malware, que causa medo e requer uma ação imediata quando é identificado, surgiu no ano de 1990 por criação de Steven Dake e Lane Davis. Desde lá, diversos tipos de rootkits foram sendo desenvolvidos pelos cibercriminosos. Alguns deles ficaram famosos. Vamos listar alguns rootkits mais conhecidos pelo mundo.

• Stuxnet – Um dos mais famosos rootkits, foi descoberto em 2010 e teve participação em danos virtuais do programa nuclear do Irã. É um dos mais agressivos e difíceis de ser detectado.
• Flame – Rootkit criado em 2012, foi desenvolvido principalmente com o objetivo de espionagem no Oriente Médio e afeta todo o sistema operacional do computador. 
• Necurs – De alta complexidade técnica, foi criado entre 2011 e 2012. Neste período foi responsável por um grande número de infecções e está associado à cibercriminosos do Leste Europeu.
• ZeroAccess – Foi descoberto em 2011, quando infectou mais de 2 milhões de computadores em todo o mundo. O Zero Access é um rootkit em modo kernel que é usado até hoje.
• TDSS – Atua como um rootkit de carregador de inicialização e foi descoberto no ano de 2008.
• NTRootkit – Foi o primeiro rootkit que atingiu sistemas da Microsoft, em 1999. Ele atua no Kernel dos sistemas operacionais.
• HackerDefender – Surgiu no ano 2000 com o objetivo de atacar diretamente o Windows 2000 e o Windows XP. 
• Greek Watergate – O nome deste rootkit foi inspirado no conhecido  caso americano Watergate. Ele foi utilizado em 2004 para infectar na Grécia celulares de usuários da Vodafone no país. 
• FuTo – É um rootkit que age silenciosamente e pode afetar tanto empresas como pessoas individualmente. 
• Rustock – Rootkit de 2006, enviava e mails spam e atuava com ataques de phishing.
• Mebroot – Este rootkit surgiu em 2007 e era conhecido por ser difícil de eliminar e bastante persistente.
• TDL-1 – Utilizado para ataques DDoS, este rootkit apareceu no ano de 2008.
• Machiavelli – Este rootkit foi especialmente criado para atingir os dispositivos MacOS. 
• Alureon – Usado no mundo inteiro, este rootkit surgiu no ano de 2011 e comprometeu dados de um grande número de pessoas. 
• Uroburos – Seu foco é o vazamento de dados de instituições que possuem forte segurança cibernética. Surgiu em 2014.
• Lojax – Rootkit de 2018, ele é considerado um dos mais difíceis de remover, isso porque ele persiste mesmo após a reinstalação do sistema operacional pois atua na placa mãe. 
• Scranos – O foco deste rootkit está no roubo de dados como senhas, e mails, informações de login, etc. 

Como evitar rootkit?

Como qualquer outro malware, os rootkits podem ser evitados. O fato de eles somente serem instalados e começarem a agir no dispositivo após alguma ação dos usuários, faz com que alguns cuidados possam evitar grande parte das infecções.

Vamos mostrar a seguir algumas formas de evitar que rootkits ataquem o seu computador.

Software de segurança cibernética

A primeira forma de evitar ataque de rootkits ou qualquer outro tipo de malware no computador, é ter uma boa ferramenta de software antivírus instalada no dispositivo. Assim, será possível detectar as ciberameaças logo de cara, para não ter que lidar depois com todo trabalho de correr atrás do prejuízo. É sempre recomendado contratar boas ferramentas de antivírus, que forneçam segurança cibernética de alto nível.

Cuidado com phishing e outros golpes de engenharia social por e mail

Em muitos casos, o phishing e outros golpes virtuais são a porta de entrada para o seu computador ou celular ser invadido por rootkits. Por isso, sempre desconfie de e mails ou mensagens que chegam oferecendo benefícios, prêmios, ou outras vantagens, mesmo que eles pareçam vir de fontes confiáveis. 

Cuidado com anexos e links

Abrir anexos infectados ou clicar em links suspeitos podem causar grandes estragos. Sempre tenha cuidado para se certificar de que o anexo que você vai abrir é, de fato, verdadeiro. O mesmo com os links que chegam por e mail, mensagens e, até mesmo em páginas web. Um anexo infectado com rootkits pode parecer inofensivo, porém, ao entrar no computador, ele começa a agir e tomar conta do comando do equipamento. 

Mantenha o sistema operacional sempre atualizado

Os sistemas operacionais dos dispositivos são atualizados constantemente para manter sempre o maior nível de proteção possível contra malware e vírus. Se você não faz as atualizações recomendadas, pode estar utilizando uma versão não tão segura como poderia ser e corre maior risco de um ataque de rootkits.

Não insira dispositivos USB sem serem confiáveis

Outra forma que os rootkits podem entrar no computador é através de dispositivos USB infectados. Tenha cuidado com o dispositivo USB que você vai inserir no seu computador. 

Não baixe arquivos de fontes duvidosas

Baixar arquivos de sites duvidosos pode trazer problemas, e muitos vírus e outras formas de malware, ao seu computador. Quando for baixar, opte por sites oficiais e garanta sua proteção.

Como eliminar rootkits?

Se mesmo tomando os cuidados com a segurança, o seu computador está sofrendo com a presença de um rootkit, não se desespere. Isso pode acontecer, já que eles vêm muito bem camuflados e, às vezes, são difíceis de detectar.

Apesar de remover rootkit ser uma tarefa um pouco mais complexa do que a remoção de outros tipos de malware, existem algumas formas de fazer isso.  

Remover rootkit do Windows

Se você usa Windows e foi infectado por rootkit, uma forma de eliminar o malware é executando a verificação do sistema para encontrar possíveis ameaças de rootkits. É preciso fazer a instalação do zero do sistema operacional para garantir a limpeza. 

Porém, em alguns casos, dependendo do grau da atuação do malware, pode ser preciso substituir completamente o hardware e configurar um novo. 

Remover rootkit de MacOS

No caso de dispositivos Mac, para eliminar rootkits, a melhor opção é manter sempre o sistema operacional atualizado na sua última versão. Os novos lançamentos de versões vão sempre trazer a melhor proteção contra malware. Porém, o Mac não possui sistema para identificar especificamente rootkit. 

Se o rootkit chegou a afetar o BIOS do Mac, será preciso fazer um reparo e, na pior das hipóteses, adquirir um novo dispositivo. 

FAQs 

Qual é a diferença entre rootkit e trojan?

Podemos dizer que o rootkit é um tipo de trojan que acaba atuando em algumas camadas mais profundas. Ele é um malware que assume o controle do dispositivo afetado. Já o cavalo de troia, é um malware que se disfarça de programas comuns para infectar e atacar um computador. 

Rootkit é considerado um spyware?

Tanto o rootkit quanto o spyware são tipos de malware que podem afetar o sistema dos  dispositivos eletrônicos. Enquanto o rootkit assume o controle do computador infectado, para roubar informações, causar danos e facilitar a entrada de malware, o spyware atua nos dispositivos observando, rastreando e coletando dados. 

Qual é o tipo de rootkit mais perigoso?

Entre os tipos de rootkits, os rootkits em modo Kernel estão entre os mais perigosos. Isso porque ele atua no núcleo do sistema operacional em, assim, esses rootkits conseguem alterar toda a funcionalidade do sistema operacional do computador. 

Rootkits podem chegar através de e mails?

Os rootkits requerem uma ação do usuário para serem instalados em uma máquina. Por exemplo, abrir um anexo ou arquivos suspeitos que chegam em uma mensagem, pode ser a porta de entrada para que um rootkit invada o sistema.