academy
Segurança
Segurança
Ver tudo Segurança artigos
Privacidade
Privacidade
Ver tudo Privacidade artigos
Desempenho
Desempenho
Ver tudo Desempenho artigos
Selecione o idioma
Selecione o idioma
Avast Academy Segurança Malware O que é um rootkit e como removê-lo?

O que é um rootkit e como removê-lo?

Um rootkit é um tipo de malware furtivo e perigoso que permite que cibercriminosos acessem seu computador sem você saber. Felizmente, mesmo esses softwares quase invisíveis podem ser encontrados e removidos. Saiba mais sobre os tipos de rootkits, como detectá-los e como remover rootkis do seu dispositivo com um escaneador de rootkits inteligente, como o Avast Free Antivirus.

Rootkit-Hero

O que é um rootkit?

Um rootkit é um pacote de software maligno projetado para oferecer acesso não autorizado a um computador ou outro software. Os rootkits são difíceis de detectar e podem ficar ocultos em um sistema infectado. Cibercriminosos usam malware de rootkit para acessar, manipular e roubar dados do seu computador.

Hamburguer menu icon

Este artigo contém:

    Quando um rootkit assume o controle, seu sistema age como se fosse um computador zumbi, e o cibercriminoso pode exercer controle absoluto no dispositivo por acesso remoto. Essa parte da definição de rootkit é o que o torna tão poderoso.

    Assim como malware sem arquivo usa programas legítimos sem deixar rastros, os rootkits também podem parecer legítimos, pois o cibercriminoso tem acesso privilegiado aos arquivos e processos do sistema. Rootkits fazem o computador mentir para você e, às vezes, para o software antivírus e de segurança também.

    O que um rootkit faz?

    Rootkits deixam código maligno se esconderem no seu dispositivo. Assim que um ataque de rootkit acontece, ele concede acesso de administrador ao sistema operacional enquanto evita ser detectado.

    O que um rootkit modifica? Como a finalidade de um rootkit é obter acesso privilegiado de administrador ao sistema de computador, um rootkit pode modificar tudo que um administrador pode. Veja uma lista curta do que um rootkit pode fazer ou modificar. 

    • Ocultar malware: rootkits ocultam outros tipos de malware no seu dispositivo e dificulta a remoção deles.

    • Obter acesso remoto: rootkits oferecem acesso remoto ao sistema operacional enquanto evitam serem detectados. Instalações de rootkit estão cada vez mais associadas com golpes de acesso remoto

    • Violam ou desativam programas de segurança: alguns rootkits podem se esconder dos programas de segurança do computador ou desativá-los completamente, dificultando a detecção e a remoção de malware.

    • Roubar dados: na maioria das vezes, os cibercriminosos usam rootkits para roubar dados. Alguns cibercriminosos atacam indivíduos e coletam dados pessoais para roubo de identidade ou fraude. Outros perseguem alvos corporativos para cometer espionagem ou crimes financeiros.

    • Criar um “backdoor” permanente: alguns rootkits podem criar um “backdoor” de segurança cibernética no sistema, que permanece aberto para que o cibercriminoso possa retornar posteriormente. 

    • Espionar suas atividades: rootkits podem ser usados como ferramentas de monitoramento, o que permite espionagem por parte de cibercriminosos

    • Invadir sua privacidade: com um rootkit, um cibercriminoso pode interceptar o tráfego da internet, acompanhar as teclas digitadas e até ler e-mails.

    Como remover um rootkit

    Remover um rootkit não é fácil. Como os rootkits podem se ocultar profundamente no sistema operacional, é difícil até mesmo localizá-los. Mas, assim que você sabe que ele está lá, é crucial curar seu computador zumbi da infecção por rootkit.

    Etapa 1: Execute o software de remoção de rootkit

    Não confie no Windows Defender ou outro software de segurança integrado, já que a maioria dos rootkits pode subverter as proteções básicas. Para proteção completa, use software especializado, como o Avast Free Antivirus. A Avast combina a maior rede de detecção de ameaças do mundo e proteção contra malware com aprendizado de máquina em uma única ferramenta leve que pode detectar e remover rootkits.

    O Avast Free Antivirus sabe como remover vírus de rootkits e impedir que eles voltem. Então, antes que um cibercriminoso consiga roubar seus dados e obter acesso privilegiado ao seu computador, deixe o Avast eliminá-los completamente da sua vida.

    Etapa 2: Executar o escaneamento de boot

    O malware moderno usa técnicas sofisticadas para evitar a detecção por produtos antivírus. Depois que um sistema operacional está em execução, os rootkits presentes no dispositivo podem enganar os escaneamentos antivírus automatizados

    Se um programa antivírus pede que o sistema operacional abra um arquivo de malware específico, o rootkit pode alterar o fluxo de informações e abrir um arquivo inofensivo. Ele também pode alterar o código de enumeração de um arquivo de malware, usado para armazenar e compartilhar informações sobre malware, o que evitaria que ele fosse incluído em um escaneamento. 

    Por isso, um escaneamento durante a inicialização, como o incluído no Avast Free Antivirus, é tão útil. Escaneamentos de boot são feitos durante o procedimento de inicialização do computador e pode encontrar rootkits antes que eles atuem. O benefício de um escaneamento de boot é que geralmente o rootkit ainda estará em um estado inativo e incapaz de se ocultar no sistema.

    Execute um escaneamento de boot pelo Avast Free Antivirus para detectar e remover rootkits ocultos nos níveis mais profundos.

    Etapa 3: Apagar o dispositivo e reinstalar o sistema operacional

    Se o software antivírus e um escaneamento de boot não conseguirem remover o rootkit, tente fazer backup dos dados, limpar o dispositivo e executar uma instalação limpa. Às vezes, esse é o único remédio quando um rootkit opera no nível de inicialização, firmware ou hipervisor. 

    Para começar, você precisa saber como formatar um disco rígido e clonar um disco rígido para fazer backup dos arquivos importantes. Você pode precisar apagar a unidade C: principal, mas ainda pode manter a maioria dos dados. Este é o último recurso para remover um rootkit.

    Para começar, evite rootkits

    A melhor abordagem para remover um vírus rootkit é evitá-lo a todo o custo. Você pode realizar ações agora mesmo para evitar a terrível questão de precisar remover um rootkit. Ter hábitos inteligentes de segurança online já ajuda muito para se manter livre de rootkits.

    • Tenha cuidado com arquivos desconhecidos: mesmo os arquivos enviados por contatos confiáveis devem ser examinados cuidadosamente antes de serem abertos. Nunca abra anexos de remetentes desconhecidos porque podem ser ataques de phishing

    • Baixe softwares de fontes confiáveis: o ideal é obter diretamente com o fabricante ou na App Store ou no Google Play Store. Leia com atenção os termos e condições para garantir que ninguém esteja tentando inserir um rootkit no seu dispositivo. 

    • Instale atualizações do sistema assim que possível: essas atualizações geralmente corrigem vulnerabilidades descobertas recentemente, que os cibercriminosos podem explorar para acessar seu dispositivo.

    Como identificar e encontrar rootkits

    Quando um rootkit é eficiente, você nem percebe que ele existe. A melhor maneira de encontrar e detectar os rootkits é com uma ferramenta de escaneamento e remoção de rootkit, como o Avast Free Antivirus. Essa ferramenta gratuita de escaneamento de rootkit não só encontra e remove rootkits instalados no seu dispositivo, como também evita que sejam instalados no futuro.

    Para aqueles que gostam de fazer por conta própria, temos dicas alternativas para encontrar um rootkit. Não será tão fácil quanto escolher o melhor software antivírus (mesmo se você encontrar um rootkit, talvez não será possível removê-lo), mas estamos aqui para ajudar.

    Sinais de um ataque de rootkit

    Os sinais de alerta a seguir podem indicar a presença de um rootkit no dispositivo: 

    • Seu sistema tem um comportamento estranho: os rootkits permitem que cibercriminosos manipulem o sistema operacional do computador. Se o computador está estranho, pode ser o trabalho de um cibercriminoso por meio de um rootkit.

    • Alteração nas configurações: em geral, seu computador não deveria fazer nada sozinho e, idealmente, quem manda é você. O acesso remoto ativado pelo rootkit pode permitir que outra pessoa altere suas configurações. Se algo parecer diferente, pode haver motivos para ficar preocupado.

    • Páginas da Web/atividades de rede intermitentes: se a sua conexão à internet de repente piorar, isso pode ser algo além de um problema de manutenção. Se um cibercriminoso estiver usando um rootkit para enviar ou receber muito tráfego do seu computador, ele poderá atrapalhar sua conexão de internet.

    Como encontrar um rootkit

    Se suspeitar que o computador foi infectado, as técnicas a seguir podem ajudar a encontrar o rootkit:

    • Escaneamento de assinatura: os computadores trabalham com números. A assinatura de um software é o conjunto de números que serve como sua representação na língua do computador. Você pode escanear seu computador, comparar com um banco de dados de assinaturas conhecidas de rootkit e verificar se alguma delas aparece.

    • Análise de descarregamento de memória: quando seu computador com Windows encontra um erro, ele também gera um arquivo chamado de descarregamento de memória ou descarregamento de falha. Um técnico competente pode examinar esse arquivo para identificar a origem da falha e ver se o motivo dele é um rootkit.

    • Verificação da memória do sistema: pesquise a memória do sistema do computador para ver se algo está fora do normal. No processo, verifique todos os pontos de entrada (acesso) quanto a sinais de processos invocados e acompanhe todas as chamadas de bibliotecas importadas de DLLs (Bibliotecas de Links Dinâmicos). Alguns podem ser conectados ou redirecionados para outras funções.

    Como os rootkits são instalados?

    Ao contrário de worms de computador e vírus, mas da mesma forma que malware Cavalo de Troia, as infecções de rootkit precisam de ajuda para serem instaladas no computador.

    Os cibercriminosos enviam seus rootkits com dois programas parceiros, um dropper e um loader, que trabalham juntos para instalar o rootkit. Juntos, os três tipos de malware compõem uma ameaça combinada. Vamos examinar melhor as ferramentas que os rootkits usam para serem instalados:

    • Dropper: o trabalho do dropper é importar o rootkit no computador da vítima. O dropper é o primeiro estágio do processo de instalação. Quando a vítima ativa o dropper, ele, por sua vez, ativa o loader.

    • Loader: Quando o dropper é executado, o loader entra em ação e instala o rootkit no sistema de destino. Os loaders fazem isso muitas vezes por um estouro de buffer. Este é um exploit de segurança comum, que permite aos cibercriminosos a implantarem seu código nas áreas da memória do computador, que não seriam acessíveis de outro jeito.

    Os rootkits vêm com um “dropper” e um “loader” que trabalham juntos para realizar um ataque.Os rootkits vêm com um “dropper” e um “loader” que trabalham juntos para realizar um ataque.

    O desafio do cibercriminoso é instalar o pacote de ameaças combinadas. Veja algumas maneiras que o cibercriminoso pode utilizar para instalar o rootkit no computador:

    • Sequestro de programas de mensagens: uma ameaça combinada pode sequestrar clientes de mensagens instantâneas para se espalhar para os contatos da vítima. Quando os destinatários clicam no link malicioso da mensagem, os computadores também são infectados. Esse tipo de ataque de engenharia social é um método altamente eficaz de espalhar rootkits.

    • Pegando carona em software confiável: os cibercriminosos podem inserir um rootkit de computador em programas e aplicativos confiáveis e fazer o upload desses aplicativos envenenados em vários portais de download. Ao instalar o aplicativo infectado, um rootkit é também instalado sem você saber.

    • Uso de outro malware: vírus e cavalos de Tróia podem ser usados como distribuidores de rootkits, pois ambos são muito eficazes em invadir computadores. Quando você executa o programa que contém o vírus ou o cavalo de Troia, o rootkit é instalado no seu dispositivo.

    • Ocultação em arquivos de conteúdo avançado: com o surgimento de arquivos de conteúdo avançado, como PDFs, os cibercriminosos não precisam mais ocultar malware em sites ou programas dedicados. Em vez disso, eles podem incorporar rootkits nesses arquivos simples de conteúdo avançado. Quando você abre o arquivo contaminado, o dropper do rootkit é executado automaticamente.

    Tipos de rootkits

    Os especialistas em segurança dividem os rootkits em seis categorias, dependendo de onde eles infectam seu computador e o nível de profundidade dessa infecção.

    Rootkits no modo de usuário

    Os rootkits do modo se usuário infectam a conta administrativa do seu sistema operacional, obtendo os privilégios de nível superior necessários para alterar os protocolos do seu computador enquanto ocultam a si mesmos e outros malwares que utilizam.

    Esses rootkits no modo de usuário são iniciados automaticamente com o computador, portanto, uma simples reinicialização não será suficiente para eliminá-lo. Programas de escaneamento e remoção de malware, como o Avast Free Antivirus, podem detectar rootkits no modo de usuário, desde que o software de detecção seja executado em um nível mais profundo, conhecido como kernel.

    Rootkits no modo de kernel

    Em resposta aos scanners de rootkit no nível do kernel, os cibercriminosos criaram rootkits no modo kernel. Eles existem no computador no mesmo nível do sistema operacional e, como resultado, comprometem todo o sistema operacional.

    Assim que o rootkits no modo de kernel ataca, você não pode mais confiar no seu computador. Tudo pode ter sido comprometido, inclusive os resultados dos escaneamentos anti-rootkit. Felizmente, é muito difícil criar um rootkits no modo de kernel que possa operar sem causar falhas excessivas do sistema e outros problemas que revelam a presença deles.

    Rootkits híbridos

    Rootkits híbridos colocam alguns componentes no nível do usuário e outros no kernel. Isso permite que um rootkit híbrido tenha a estabilidade dos rootkits no modo de usuário com a discrição aprimorada de seus primos que residem no kernel. Consequentemente, os rootkits híbridos de usuário e kernel são um dos tipos mais usados agora pelos cibercriminosos.

    Rootkits de firmware

    Firmware é um tipo de software de baixo nível que controla um componente do hardware de computador. Alguns rootkits podem se esconder dentro de firmware quando você desliga o computador. Quando ele é ligado novamente, um rootkit de firmware pode se reinstalar e voltar a funcionar.

    Se um scanner de rootkits encontrar e desativar um firmware enquanto ele estiver em execução, o rootkit do firmware retornará na próxima vez que você ligar a máquina. Estes rootkits são extremamente difíceis de remover de um sistema de computador.

    Bootkits

    Quando você liga o computador, ele consulta o MBR (Master Boot Record) para obter instruções sobre como carregar o sistema operacional. Bootkits, também conhecidos como rootkits bootloader, são uma variante de rootkit no modo de kernel que infectam o MBR do computador. Sempre que seu computador consulta o MBR, o bootkit também é carregado.

    Os programas antimalware têm dificuldade em detectar bootkits, como acontece com todos os rootkits no modo kernel, já que os bootkits não residem no sistema operacional. Felizmente, bootkits já se tornaram obsoletos, pois são combatidos pelo Windows 8 e pelo Windows 10 com o recurso Inicialização Segura (Secure Boot).

    Rootkits virtuais

    Uma máquina virtual é uma emulação baseada em software de um computador hospedado em um computador físico. Máquinas virtuais são usadas para executar vários sistemas operacionais em um computador ou para testar programas em um ambiente isolado.

    Os rootkits virtuais, ou rootkits baseados em máquina virtual (VMBRs), carregam a si mesmos sob o sistema operacional original e, em seguida, colocam esse sistema operacional em uma máquina virtual. Como são executados separadamente do sistema operacional do computador, são muito difíceis de detectar.

    Exemplos de rootkit

    Quando um rootkit surge, ele se torna imediatamente um dos problemas mais urgentes em segurança cibernética. Vamos dar uma olhada em alguns dos exemplos de rootkits mais conhecidos da história, alguns criados por cibercriminosos e outros, surpreendentemente, criados e usados por grandes corporações.

    Um cronograma de alguns dos ataques mais conhecidos de rootkit, inclusive do primeiro rootkit em 1990 e o worm Stuxnet em 2010.Um cronograma dos exemplos mais conhecidos de ataques de rootkit.


    • 1990: Lane Davis e Steven Dake criam o primeiro rootkit conhecido na Sun Microsystems para o SunOS Unix OS.

    • 1999: Greg Hoglund publica um artigo que descreve a criação de um cavalo de Tróia chamado NTRootkit, o primeiro rootkit para Windows. Ele é um exemplo de vírus rootkit que funciona no modo kernel.

    • 2003: o rootkit de modo do usuário HackerDefender surge para Windows 2000 e Windows XP. O surgimento do HackerDefender desencadeou um jogo de gato e rato entre ele e a ferramenta anti-rootkit RootkitRevealer.

    • 2004: um rootkit é usado para acessar mais de 100 telefones celulares na rede da Vodafone na Grécia, incluindo o telefone usado pelo primeiro-ministro do país, em um ataque que ficou conhecido como o Watergate grego.

    • 2005: a Sony BMG é atingida por um enorme escândalo depois de distribuir CDs que instalam rootkits como uma ferramenta antipirataria, sem o consentimento dos consumidores.

    • 2008: o bootkit TDL-4, conhecido na época como TDL-1, alimenta o infame cavalo de Troia Alureon, usado para criar e manter botnets.

    • 2009: o rootkit Machiavelli, que é uma prova de conceito, tem como alvo o macOS (então chamado Mac OS X)e mostra que os Macs também são vulneráveis a malwares, como rootkits.

    • 2010: o worm Stuxnet, supostamente desenvolvido em conjunto por EUA e Israel, usou um rootkit para ocultar sua presença ao atacar o programa nuclear iraniano.

    • 2012: um malware conhecido como Flame, modular e com 20 MB, é relativamente grande, já que muitos malwares têm menos de 1 MB e causou estragos em toda a infraestrutura no Oriente Médio e no norte da África. 

    • 2018: LoJax é o primeiro rootkit que infecta o UEFI do computador, o firmware que controla a placa-mãe, permitindo que o LoJax sobreviva à reinstalação do sistema operacional.

    • 2019: esse ataque de rootkit recente vem do Scranos, um rootkit que rouba senhas e dados de pagamento armazenados no navegador. Notavelmente, ele transforma o computador em um farm de cliques para gerar secretamente receita de vídeo e assinantes do YouTube.

    Proteja seus dispositivos com software anti-rootkit

    Mais de 400 milhões de usuários no mundo confiam no Avast para se defender contra todos os tipos de malware, inclusive rootkits. Ao instalar o Avast Free Antivirus, você se equipa com um dos escaneadores e removedores de rootkit mais fortes disponíveis. A melhor proteção contra rootkits, totalmente grátis.

    Proteja sua rede Wi-Fi e seus dados pessoais com o Avast Mobile Security

    INSTALAR GRÁTIS

    Bloqueie rootkits e proteja seu Android com o Avast Mobile Security

    INSTALAR GRÁTIS