Che cos'è un rootkit e come infetta il tuo PC

Tutti conoscono i virus informatici e le persone hanno giustamente paura di loro. Molti hanno anche sentito parlare di worm (computer), che sono programmi cattivi progettati per diffondere il più possibile per infettare i computer.

Un rootkit, d'altra parte, è subdolo in un modo diverso. Questo codice indesiderato sul desktop viene utilizzato per ottenere il controllo sul desktop nascondendosi nel profondo del sistema. A differenza della maggior parte dei virus, non è direttamente distruttivo e, a differenza dei worm, il suo obiettivo non è diffondere l'infezione il più possibile.

Quindi cosa fa un Rookit?

Ciò che fa è fornire accesso a tutte le tue cartelle - sia dati privati ​​che file di sistema - a un utente remoto che, attraverso i poteri amministrativi, può fare quello che vuole con il tuo computer. Inutile dire che ogni utente dovrebbe essere consapevole della minaccia che rappresentano.

I rootkit generalmente vanno molto più in profondità rispetto al virus medio. Potrebbero persino infettare il BIOS, la parte del computer indipendente dal sistema operativo, rendendoli più difficili da rimuovere. E potrebbero non essere specifici di Windows, anche le macchine Linux o Apple potrebbero essere interessate. In effetti, il primo rootkit mai scritto è stato per Unix!

È un nuovo fenomeno?

No, per niente. Il primo rootkit conosciuto ha infatti due decenni. Tuttavia, ora che ogni casa e ogni scrivania hanno un computer collegato a Internet, le possibilità di sfruttare appieno il potenziale di un rootkit sono solo in fase di realizzazione.

Probabilmente il caso più famoso finora è stato nel 2005, quando i CD venduti da Sony BMG hanno installato i rootkit senza il permesso dell'utente che ha permesso a qualsiasi utente che ha effettuato l'accesso al computer di accedere alla modalità amministratore. Lo scopo di quel rootkit era quello di imporre la protezione della copia (chiamata "Digital Rights Management" o DRM) sui CD, ma comprometteva il computer su cui era installato. Questo processo potrebbe essere facilmente dirottato per scopi dannosi.

Cosa lo differenzia da un virus?

Molto spesso, i rootkit sono usati per controllare e non per distruggere. Naturalmente, questo controllo potrebbe essere utilizzato per eliminare i file di dati, ma può anche essere utilizzato per scopi più nefasti.

Ancora più importante, i rootkit funzionano agli stessi livelli di privilegi della maggior parte dei programmi antivirus. Ciò li rende molto più difficili da rimuovere poiché il computer non è in grado di decidere su quale programma ha una maggiore autorità per chiudere l'altro.

Quindi, come potrei essere infettato da un rootkit?

Come accennato in precedenza, un rootkit può essere trasferito insieme al software di cui pensavi di fidarti. Quando si autorizza l'installazione di questo software sul proprio computer, viene inserito anche un processo che attende silenziosamente in background un comando. Inoltre, poiché per concedere l'autorizzazione è necessario l'accesso amministrativo, ciò significa che il rootkit si trova già in una posizione delicata sul computer.

Un altro modo per essere infettati è attraverso le tecniche standard di infezione virale - tramite dischi condivisi e unità con contenuto Web infetto. Questa infezione potrebbe non essere individuata facilmente a causa della natura silenziosa dei rootkit.

Ci sono stati anche casi in cui i rootkit sono stati preinstallati sui computer acquistati. Le intenzioni alla base di tale software possono essere buone - ad esempio, l'identificazione antifurto o la diagnosi remota - ma è stato dimostrato che la semplice presenza di un tale percorso verso il sistema stesso è una vulnerabilità.

Quindi, questo riguardava esattamente cosa è un rootkit e come si insinua nel computer. Nel prossimo articolo parlerò di come difendere il tuo computer dai rootkit, dalla protezione alla pulizia.

Rimanete sintonizzati!