Che cos'è un rootkit e come infetta il tuo PC

Tutti lo sanno virus informatici – e la gente giustamente ne ha paura. Molti hanno anche sentito parlare di worm (computer), che sono programmi dannosi progettati per diffondersi il più possibile per infettare i computer.

Un rootkit, d'altra parte, è subdolo in un modo diverso. Questo codice indesiderato sul desktop viene utilizzato per ottenere il controllo sul desktop nascondendosi in profondità all'interno del sistema. A differenza della maggior parte dei virus, non è direttamente distruttivo e, a differenza dei worm, il suo obiettivo non è quello di diffondere l'infezione il più ampia possibile.

Quindi cosa fa un Rookit?

Quello che fa è fornire l'accesso a tutte le tue cartelle – sia dati privati ​​che file di sistema – a un utente remoto che, attraverso poteri amministrativi, può fare quello che vuole con il tuo computer. Inutile dire che ogni utente dovrebbe essere consapevole della minaccia che rappresenta.

I rootkit generalmente vanno molto più in profondità del virus medio. Potrebbero persino infettare il tuo BIOS, la parte del tuo computer indipendente dal sistema operativo, rendendoli più difficili da rimuovere. E potrebbero anche non essere specifici di Windows, anche le macchine Linux o Apple potrebbero essere interessate. In effetti, il primo rootkit mai scritto era per Unix!

Immagine di Fristle

È un fenomeno nuovo?

No, per niente. Il primo rootkit conosciuto ha infatti due decenni. Tuttavia, ora che ogni casa e ogni scrivania ha un computer connesso a Internet, le possibilità di sfruttare tutto il potenziale di un rootkit si stanno appena realizzando.

Forse il caso più famoso finora è stato nel 2005, quando i CD venduti da Sony BMG installavano rootkit senza il permesso dell'utente che consentivano a qualsiasi utente connesso al computer di accedere alla modalità amministratore. Lo scopo di quel rootkit era quello di applicare la protezione dalla copia (chiamata "gestione dei diritti digitali” o DRM) sui CD, ma ha compromesso il computer su cui era installato. Questo processo potrebbe essere facilmente dirottato per scopi dannosi.

Cosa lo rende diverso da un virus?

Molto spesso, i rootkit vengono utilizzati per controllare e non per distruggere. Naturalmente, questo controllo potrebbe essere utilizzato per eliminare i file di dati, ma può anche essere utilizzato per scopi più nefasti.

Ancora più importante, i rootkit vengono eseguiti con gli stessi livelli di privilegio della maggior parte dei programmi antivirus. Ciò li rende molto più difficili da rimuovere poiché il computer non può decidere quale programma ha una maggiore autorità per spegnere l'altro.

Quindi, come potrei essere infettato da un rootkit?

Come accennato in precedenza, un rootkit può essere trasportato sulle spalle insieme a software di cui pensavi di fidarti. Quando dai a questo software l'autorizzazione per l'installazione sul tuo computer, inserisce anche un processo che attende silenziosamente in background un comando. E, poiché per concedere l'autorizzazione è necessario l'accesso amministrativo, ciò significa che il rootkit si trova già in una posizione sensibile sul computer.

Un altro modo per essere infettati è tramite tecniche di infezione virale standard, tramite dischi condivisi e unità con contenuti Web infetti. Questa infezione potrebbe non essere facilmente individuata a causa della natura silenziosa dei rootkit.

Ci sono stati anche casi in cui i rootkit sono stati preinstallati sui computer acquistati. Le intenzioni alla base di tale software possono essere buone, ad esempio l'identificazione antifurto o diagnosi a distanza – ma è stato dimostrato che la semplice presenza di un tale percorso verso il sistema stesso è una vulnerabilità.

Quindi, si trattava di cos'è esattamente un rootkit e di come si insinua nel computer. Nel mio prossimo articolo parlerò come difendere il computer dai rootkit: dalla protezione alla pulizia.

Rimani sintonizzato!