Rootkit cosa sono e come si rilevano

I rootkit sono i virus più insidiosi che un computer possa mai prendersi. Tali programmi, a differenza dei più che si mostrano con fastidiose manifestazioni, si tengono ben nascosti aprendo backdoor in grado a i malintenzionati di accedere al vostro computer e spiarvi di nascosto. La pecuniarità sta nel fatto che i rootkit si sostituiscono a i programmi originali del sistema operativo rendendo di fatto molto complicato la loro rilevazione da parte dei più comuni sistemi antivirus in quanto svolgono i medesimi [e non solo quelli] compiti del programma sostituito.

Qualche settimana fa AVG ha rilasciato gratuitamente un anti-rootkit, a ruota lo hanno seguito anche Panda Antivirus e Sophos tutti rigorosamente Free e leggerissimi dove una volta avviati basta attendere e vedere se trovano qualcosa [inutile dirli di installare solo uno di questi e non tutti e tre contemporaneamente].

Personalmente sotto Windows mi sono sempre trovato bene con GMER. Prestate attenzione tuttavia. Visto, come dicevo prima, nella difficoltà nel rilevare tali minacce questi rilevatori non sono perfetti. Anche se segnalano una possibile minaccia dovete prestare particolare attenzione a i falsi positivi in quanto tutti gli anti-rootkit ipotizzano che quel determinato file possa essere malizioso ma non è detto che non sia lecita la sua presenza nel sistema.

Per Unix ho sempre fatto uso di Chkrootkit o RootKit Hunter ed onestamente mi hanno dato grosse soddisfazioni entrambi. Mentre il primo è molto più potente il secondo ha una funzionalità molto interessante. La prima volta che lo avvii si crea un hash dei binari e degli eseguibili “ritenuti” sensibili e ogni volta che lo desideri fai controllare la lista, magari salvata su cd o floppy con i file presenti nel sistema e se qualcosa non coincide scatta la segnalazione.

Aggiornamento:
Visto gli enormi successi ottenuti, anche altre aziende specializzate nel settore hannno deciso di creare il loro anti-rootkit personale.

1. McAfee Rootkit Detective
2. BitDefender - Ottimo
3. Trend Micro RootkitBuster - Ottimo
4. Seem - Ottimo
5. Dark Spy - Ottimo
6. Avira - Buono
7. F-secure - Scadente
8. Sysprot antirootkit - Scadente
9. Sophos - Scadente

Quelli che ho giudicato come scadenti li ritengo poco affidabili in quanto o non trovano nulla, o troppo o non sono in grado di eliminare le minaccie pur avendole rilevate.