Rootkit cosa sono e come si rilevano

mercoledì, 9 maggio 2007 di David Terni
commenti stampa

I rootkit sono i virus più insidiosi che un computer possa mai prendersi. Tali programmi, a differenza dei più che si mostrano con fastidiose manifestazioni, si tengono ben nascosti aprendo backdoor in grado a i malintenzionati di accedere al vostro computer e spiarvi di nascosto. La pecuniarità sta nel fatto che i rootkit si sostituiscono a i programmi originali del sistema operativo rendendo di fatto molto complicato la loro rilevazione da parte dei più comuni sistemi antivirus in quanto svolgono i medesimi [e non solo quelli] compiti del programma sostituito.

Qualche settimana fa AVG ha rilasciato gratuitamente un anti-rootkit, a ruota lo hanno seguito anche Panda Antivirus e Sophos tutti rigorosamente Free e leggerissimi dove una volta avviati basta attendere e vedere se trovano qualcosa [inutile dirli di installare solo uno di questi e non tutti e tre contemporaneamente].

Personalmente sotto Windows mi sono sempre trovato bene con GMER. Prestate attenzione tuttavia. Visto, come dicevo prima, nella difficoltà nel rilevare tali minacce questi rilevatori non sono perfetti. Anche se segnalano una possibile minaccia dovete prestare particolare attenzione a i falsi positivi in quanto tutti gli anti-rootkit ipotizzano che quel determinato file possa essere malizioso ma non è detto che non sia lecita la sua presenza nel sistema.

Per Unix ho sempre fatto uso di Chkrootkit o RootKit Hunter ed onestamente mi hanno dato grosse soddisfazioni entrambi. Mentre il primo è molto più potente il secondo ha una funzionalità molto interessante. La prima volta che lo avvii si crea un hash dei binari e degli eseguibili “ritenuti” sensibili e ogni volta che lo desideri fai controllare la lista, magari salvata su cd o floppy con i file presenti nel sistema e se qualcosa non coincide scatta la segnalazione.

Aggiornamento:
Visto gli enormi successi ottenuti, anche altre aziende specializzate nel settore hannno deciso di creare il loro anti-rootkit personale.

  1. McAfee Rootkit Detective
  2. BitDefender – Ottimo
  3. Trend Micro RootkitBuster – Ottimo
  4. Seem – Ottimo
  5. Dark Spy – Ottimo
  6. Avira – Buono
  7. F-secure – Scadente
  8. Sysprot antirootkit – Scadente
  9. Sophos – Scadente

Quelli che ho giudicato come scadenti li ritengo poco affidabili in quanto o non trovano nulla, o troppo o non sono in grado di eliminare le minaccie pur avendole rilevate.

ATTENZIONE! L'articolo che hai letto e' stato scritto piu' di quattro mesi fa. Le informazioni presenti potrebbero dunque non essere aggiornate o non piu' valide!

Tags: , , , ,
mercoledì, maggio 9 2007 di David Terni
commenti stampa share
Termini & Copyright
Questo articolo é rilasciato sotto Licenza Creative Commons Licence

Vuoi ricevere gratuitamente i nuovi articoli sull'informatica di David Terni nella tua casella E-mail o tramite Rss?

E-mail Rss

Altri Articoli Che Ti Potrebbero Interessare:

Rai

«Parla con Wasabi»

Apro questo spazio dedicato a voi, miei lettori che ogni giorno mi tempestate di domande.

Da oggi smetterò di rispondere in maniera privata. Considerato che molto spesso ricevo i medesimi quesiti esisterá questo nuovo spazio dove risponderó pubblicamente.

Le domande più interessanti e d'interesse pubblico verranno pubblicate su Sismi.info
Puoi contattarmi in vari modi, ecco come...

Ci sono 2 Commenti per questo articolo.

  1. 22 febbraio, 2008 19:37 - Informaticafacile
    Trackback / Pingback
  2. 6 dicembre, 2008 00:29 - » Blog Archive » MBR danneggiato: capire le cause e come ripararlo

Scrivi un commento

I commenti sono senza moderazione, tuttavia...
  • I messaggi contenenti frasi offensive, fuori tema, di propaganda, futili o link di spam saranno modificati o non pubblicati.
  • Accetto le critiche, ma quelle personali mandatele via email

Puoi usare i seguenti tag HTML:
  • <a href="" title=""></a>
  • <blockquote></blockquote>
  • <code></code>
  • <em></em>
  • <strong></strong>

N.B. I campi in rosso sono obbligatori