Crianças adoram brincar de esconder. A mesma atitude é inerente aos rootkits, projetados para permanecerem camuflados em um computador.

Os rootkits são um conjunto de programas utilizados por crackers para ocultar arquivos maliciosos. Tecnicamente, é possível afirmar que o rootkit é uma evolução dos cavalos-de-tróia, malwares desenvolvidos para ganhar acesso de um computador.

Contudo, a característica principal desta ferramenta é o fato de serem capazes de fugirem da identificação. Para tal, ela se instala principalmente no modo kernel (o núcleo do sistema operacional), onde encontra maior capacidade de se esconder. “Mais próximo ao sistema operacional, ele está mais protegido”, explica o engenheiro de sistemas da Symantec, André Carrareto.

Os rootkits também podem se instalar no modo usuário, apesar deste comportamento ser mais incomum, pois este local o torna mais frágil. Ali, ele pode interceptar chamadas da API (interface para programação de aplicativos) e modifica seus registros.

“O gerenciador de tarefas do Windows, por exemplo, lista os processos e permite que algo estranho seja identificado. O rootkit não permite que esta listagem mostre suas atividades”, diz Carrareto.

Os antivírus, de um modo geral, não rastreiam estes esconderijos, o que permite que, além de se tornar invisível, o rootkit instale os códigos maliciosos que desejar e manipular uma rede da forma que melhor lhe convir.

Da raiz

Do inglês “root” (raiz), o termo deixa clara a atuação deste malware, que alcança a raiz de um computador - local onde possui altos privilégios.

Originalmente, o termo se referia a um conjunto de ferramentas (daí o kit) do sistema operacional Unix. “Como todo malware, ele foi criado para facilitar a vida das pessoas. Ele era utilizado para auxiliar os administradores do sistema Unix a gerenciarem a máquina”, explica Carrareto.

A fama desta ferramenta adquiriu proporções globais quando a gravadora Sony/BMG integrou o software XPC, que atua de forma similar a um rootkit, aos seus CDs, em 2005.

O “rootkit-DRM” atuava para impedir cópias do álbum, até que um especialista descobriu que, além desta função, ele tornava o os micros onde era instalada, vulneráveis a invasões.

Um semana após a eclosão do escândalo, que custou 1,5 milhão de dólares aos cofres da gravadora, foi detectado o primeiro malware que usava o rootkit integrado aos CDs da Sony/BMG para se camuflar no PC da vítima.

Perigo invisível

O objetivo - e peculiaridade - do rootkit é se manter camuflado. Esta ferramenta pode ser dividida em diversos tipos, variáveis de acordo com o nível de atuação no sistema: firmware, applicação, kernel e assim por diante.

Sozinho, o rootkit não faz nada. “Seu objetivo é esconder a ação de atividade maliciosa no PC ou servidor”, explica o engenheiro de suporte da BitDefender, Luciano Goulart.

Isto permite que um backdoor, por exemplo, que abre a máquina para acesso remoto do invasor, não seja identificado quando as portas de rede são examinadas. Inclusive, “com a característica de camuflagem, o poder de fraude aumenta potencialmente”, alerta Carrareto.

Quantidade de esconderijos

Só nos dois primeiros meses deste ano, a PandaLabs detectou 25% do total de rootkits encontrados em 2006. Dos cinco rootkits que mais atuaram no último semestre, três deles o faziam no modo kernel, segundo a PandLab. Neste período, os crackers têm desenvolvido técnicas cada vez mais complexas e difíceis de serem detectadas.

No primeiro trimestre de 2007, a McAfee identificou um crescimento de 15% de rootkits em comparação ao mesmo período do ano anterior.

O número de rootkits, desde sua popularização, têm crescido em alta velocidade. Segundo a McAfee, entre 2005 e 2006, o aumento de ataques que usavam rootkits cresceu 700%.

A Microsoft afirmou, há dois anos, que mais de 20% de todos os malwares removidos do Windows XP com Service Pack 2 eram rootkits.

Carona na vulnerabilidade

Enquanto os malwares, como vírus e worms, atacam a máquina e são seu próprio meio de transporte para chegar a um computador, esta ferramenta pega carona em um arquivo malicioso para acessar um sistema.

“Muitas vezes o usuário, sem perceber, instala um código malicioso que é programado para inserir o rootkit no micro pela internet”, diz Carrareto.

Também é possível que, junto a técnicas de phishing, por exemplo, o usuário possa instalar arquivos executáveis e, dessa forma, se infecte com o rootkit.

O programa é inteligente e pode possuir comandos altamente sofisticados. O Backdoor.Rustock é um exemplo deste avanço.

“Ele inclui técnicas designadas para driblar a maioria dos softwares anti-rootkit, e pode até mudar seu comportamento para ficar cada vez mais invisível caso perceba que uma ferramenta de detecção está rodando no sistema”, afirma Goulart.

Encontrar e excluir o visitante oculto

Para que os rootkits não encontrem brechas pelas quais possam se infiltrar no computador, a primeira coisa a ser feita é manter em dia as atualizações do sistema. “O usuário precisa manter as correções do sistema operacional em dia, mas ele não pode se proteger sozinho”, explica Carrareto.

Portanto, também é preciso manter atualizadas as ferramentas de proteção, como antivírus e firewalls.

Atualmente, algumas tecnologias têm como alvo principal a detecção de rootkits e conseguem removê-los. Contudo, se isto não é possível, é necessário reinstalar o sistema operacional.

E como identificar um rootkit? “A ferramenta irá identificar um malware, e o usuário irá buscar informações no fabricante do antivírus e saber se este possui um comportamento característico a um rootkit”, indica Carrareto.

“Os mais difíceis de detectar são os que gerenciam ‘ganchos’ no kernel, mas não escrevem nada no disco, residindo somente em memória”, revela Goulart. Estes são grandes ameaças a servidores, onde a máquina só é reiniciada em situações raras.

Proteção gratuita

O usuário conta com alguns programas gratuitos disponíveis na rede, específicos para identificar rootkits.

Um deles é o AVG Anti-Rootkit, da Grisoft, que pode ser baixado no site da empresa. A Sophos também tem disponível para download sua ferramenta gratuita de identificação e remoção desta ameaça.

Outros aplicativos gratuitos são o IceSword e o GMER.

Autor/fonte: Lygia de Luca, repórter do IDG Now!

Quando se fala em segurança no uso de computadores domésticos, não faltam conselhos sobre como protegê-los dos piratas virtuais. Essas dicas, no entanto, têm pouco valor quando os internautas utilizam máquinas públicas - como as de lan houses e telecentros -, já que o internauta não tem qualquer controle sobre elas. Ou você acha que os visitantes de cibercafés realmente tomam cuidado para cair em golpes virtuais?

Além disso, não há como o usuário ter garantias sobre o sistema de segurança desses computadores. A rede de lan houses Monkey, com nove lojas em São Paulo, afirma usar em suas máquinas antivírus, firewall e placas de segurança, que retomam todas as configurações iniciais do computador quando ele é reiniciado. Mas é bem possível que estabelecimentos de menor porte deixem de tomar esses cuidados básicos, fazendo com que as máquinas fiquem vulneráveis a ataques.

Por isso, os especialistas ouvidos pelo G1 são unânimes: nem pense em fazer compras ou acessar o banco via internet nessas máquinas. Se isso acontecer, são grandes as chances de seus dados financeiros pararem na mão de pessoas mal-intencionadas. Confira, abaixo, outras dicas para não ter surpresas desagradáveis ao usar computadores públicos:
Nunca acesse sua conta bancária via computadores públicos;

Não faça compras on-line ou outras transações que exijam seus dados financeiros;

Não escreva mensagens (de e-mail ou via messenger) com informações sigilosas, como dados do cartão de crédito;

Nunca opte pela alternativa “salvar senhas”, disponível em webmails e redes sociais;

Se você é usuário de computadores públicos, troque suas senhas com maior freqüência (semanalmente, por exemplo);

Faça o log off da página por onde navegou. Ou seja: clique sempre em “sair” antes de abandonar o serviço de e-mail, o Orkut, o messenger ou outro serviço que exija senha;

Não use informações armazenadas na máquina; digite sempre o endereço do site que deseja visitar;

Fique atento ao visual das páginas que pedem sua senha; se a aparência for estranha, pode se tratar de um site fraudulento criado por piratas virtuais;

Fique atento aos arquivos criados ou salvos nessas máquinas. Se enviá-los via e-mail para sua máquina pessoal, passe o antivírus para certificar-se que eles não estão infectados;

Evite clicar em links sugeridos por desconhecidos ou visitar páginas possivelmente fraudulentas. Se todos os usuários tiverem esses cuidados, os riscos no uso de computadores públicos diminuem.

Autor/fonte: G1

Não basta fechar a janela. É preciso ter cortinas e persianas para os espiões não consigam enxergar seus movimentos. Na área de tecnologia, estes intrusos são códigos maliciosos chamados spywares.

As ações deste programa criminoso são duas. Primeiro, compilar dados e, segundo, enviá-los a um golpista. Para não se mostrar presente, o spyware age em silêncio e é capaz até de melhorar a performance da máquina.

Em março deste ano, crackers utilizaram um spyware para atingir usuários do publicador de blogs WordPress. Em um arquivo disponível para download, estava a praga, que permitia a invasão da máquina de quem baixou o programa.

Atualmente, os malwares destinados a roubar dados financeiros são os que apresentam incidência mais alarmante, segundo o diretor executivo da Panda Software, Eduardo D’Antona. O spyware é um deles, que possui característica de ocultamento e transparência. “É a sensação de estar doente, mas sem sintomas”, exemplifica o diretor.

O principal meio de propagação dos spywares são os phishings que, com técnicas de engenharia social, induzem o usuário a acessar uma página que pode instalar o código ou pedir o download de um arquivo malicioso.

Espião pioneiro

Em outubro de 1995, o termo spyware foi utilizado pela primeira vez, em um post do Usenet, para debochar de um modelo da Microsoft, sendo o primeiro registro da alusão a um código que tinha por objetivo a espionagem.

Foi só no ano de 2000, contudo, que o fundador da Zone Labs, Gregor Freund, utilizou o termo em um release à imprensa.

O primeiro programa suspeito de incluir um spyware foi o game Elf Bowling, que, em 1999, foi lançado na internet. Ele incluía um código que enviava informações dos usuários aos criadores do software.

Revelação de dados

Nos últimos sete anos, a quantidade de malwares criados anualmente aumentou 25,8%. Em 2000, os vírus correspondiam a 81% dos novos códigos maliciosos detectados, enquanto em 2006, a quantidade caiu para 1%, segundo a Panda Software.

“Hoje são criados 1.200 novos códigos maliciosos por dia. Desses, grande parte refere-se ao roubo de informações”, afirma D’Antona.

Em abril deste ano, a Panda observou um aumento de infecções causadas por malwares que buscam ganho financeiro. Neste período, 3% do total de códigos maliciosos detectados pela Panda têm o padrão específico de spywares.

A nova dinâmica dos malwares, segundo o relatório de abril da Panda Software, envolve estes espiões. O fato de eles serem menos visíveis nas pesquisas não significa que são em pouca quantidade, mas que sua distribuição é silenciosa e o dano menos visível.

Os espiões podem ainda estar em outros códigos maliciosos. “Ele pode até se ocultar em serviços do sistema operacional, usando a técnica do rootkit”, exemplifica D’Antona.

Além disso, com o uso de cavalos-de-tróia, que abrem as portas do computador, um spyware pode ser instalado. O número de trojans detectados pelo PandaLabs passou de 14% no ano de 2000 para 53% em 2006.

Em 2006, 60% das empresas brasileiras avaliadas pelo estudo Web@Work América Latina e Brasil, admitem que foram infectadas por spywares. Entre os riscos incorporados aos dispositivos móveis, os spywares são responsáveis por 45% do total.

Profissão: espionagem

Os especialistas em roubar dados se armam para fazê-lo com o máximo de discrição possível. Mesmo sem capas, luvas e chapéus, eles passam desapercebidos para roubar informações que lhes forneçam lucro.

Este malware, diferente de vírus e worms, não se auto-replicam. Não os confunda com os adwares, softwares projetados para apresentar propagandas ao usuário. “O uso de adwares está diminuindo devido a sua fragilidade para modificação”, diz D’Antona.

Outras ferramentas, muitas vezes, integram esta praga. “O spyware pode enviar os dados obtidos com um keylogger para uma rede de zumbis ou simplesmente catalogar a informação para que o cracker as acesse pelo backdoor”, explica D’Antona.

Os spywares já incorporaram comportamentos a um computador que permitiam que o usuário percebesse a presença de algo estranho. Eles costumavam mudar a página inicial do navegador ou apresentar pop-ups excessivos - que, quando fechados, abriam novamente.

Hoje, este comportamento é raro. Os crackers buscam, além do silêncio, novos meios de propagação. “As redes wi-fi têm se popularizado, e os criminosos também buscam ali portas abertas para invadir”, alerta o diretor.

Multiplique a prevenção

“Ter só um antivírus instalado não funciona mais”, afirma D’Antona. Para combater esta praga, o usuário deve possuir um software específico. O mercado disponibiliza anti-spywares que buscam o comportamento deste espião, só ou incorporado a algum malware. O Spyware Blaster é um exemplo deste software, disponível para download gratuito na rede.

“A pessoa também precisa ter um Sistema de Prevenção de Intrusos”, alerta o diretor. E lembra: “não adianta instalar um software e não mantê-lo atualizado.”
Autor/fonte: Lygia de Luca, repórter do IDG Now!