academy
Segurança
Privacidade
Desempenho
Select language
Avast Academy Segurança Outras ameaças Rootkits explicados: O que fazem, como funcionam e como removê-los

Rootkits explicados: O que fazem, como funcionam e como removê-los

Os rootkits são um tipo de malware furtivo e perigoso que permite que cibercriminosos acessem seu computador sem o seu conhecimento. Aprenda como você pode detectar esses softwares quase invisíveis com um scanner de rootkit e como usar uma ferramenta anti-rootkit para remover rootkits do seu dispositivo definitivamente.

Rootkit-Hero

O que é um rootkit?

Um rootkit é um pacote de software criado para permanecer oculto no seu computador enquanto fornece controle e acesso remotos. Os cibercriminosos usam rootkits para controlar seu computador sem seu conhecimento ou consentimento.

Hamburguer menu icon

Este artigo contém:

    Para definir rootkits, podemos analisar o nome. A primeira parte, “root” (raiz) refere-se à conta administrativa em um dispositivo. Como essa conta pode acessar tudo no dispositivo e possui todos os privilégios de usuário, ela tem o maior nível de controle, como a profundidade das raízes de uma planta. Os rootkits permitem que o cibercriminoso “cave” nas entranhas do seu sistema, como um porco que chafurda a terra para encontrar uma trufa cheirosa e saborosa.

    “Kit” representa como esse acesso raiz é desbloqueado: por meio de um pacote de software que permite o controle administrativo ao cibercriminoso. O cibercriminoso cria um kit de software que concede privilégios na raiz do sistema de destino.

    Um rootkit é igual a um vírus?

    Os rootkits e os vírus geralmente trabalham juntos, até existe um “vírus rootkit”, que é um tipo reconhecido de vírus. Porém, a diferença entre os dois é clara. Os rootkits concedem acesso de nível administrativo a um sistema, enquanto a principal característica de um vírus é a maneira que ele modifica arquivos em um computador para se replicar.

    Os cibercriminosos normalmente usam cavalos de Troia, que são um tipo de malware que parece seguro e faz com que você o baixe ou abra, para espalhar rootkits. Depois de baixado e aberto, o cavalo de Troia instala o rootkit. Por esse motivo, sem proteção contra todos os tipos de malware, você está totalmente aberto a cibercriminosos e seus rootkits.

    O Avast Free Antivirus oferece uma defesa avançada contra malware e inclui proteção contra os cavalos de Troia que os cibercriminosos usam para espalhar rootkits. Confie na ferramenta antivírus e anti-rootkit que é usada por mais de 400 milhões de pessoas.

    OK, mas rootkits são malware?

    Os rootkits são apenas classificados como malware quando usados para fins sinistros ou ilegais. Algumas pessoas optam por instalar rootkits em seus dispositivos como parte de um processo conhecido como jailbreak para contornar as restrições internas de um fabricante. Às vezes, governos e agências policiais usam rootkits em suas investigações sobre atividades criminosas, o que não consideramos um uso legítimo.

    “Stalkerware” é uma nova classificação de malware que se refere a rootkits que monitoram a atividade de alguém ou controlam o conteúdo que eles consomem. O Stalkerware é frequentemente comercializado para pais, empregadores e até pessoas que querem ficar de olho no seu parceiro. Tais práticas são ilegais em vários países.

    Por si só, um rootkit é apenas uma ferramenta, mas, como muitas outras ferramentas, ele pode ser usado de forma legítima ou ilegal.

    O que um rootkit faz?

    Os rootkits permitem que outros malwares se escondam no seu dispositivo e podem dificultar ou até mesmo impossibilitar que você limpe a infecção. Depois que um rootkit é instalado no seu dispositivo, ele concede acesso remoto a praticamente todas as funções do seu sistema operacional, sem ser detectado.

    Os rootkits operam no nível profundo de programação do computador, onde podem ocultar a maioria dos traços de sua existência. Essa sutileza os torna muito perigosos. Alguns rootkits podem até desconfigurar ou desabilitar os programas de segurança do computador e assim torna-se muito mais difícil detectá-los e removê-los.

    Na maioria das vezes, os cibercriminosos usam rootkits para roubar informações. Alguns cibercriminosos atacam indivíduos, usando rootkits para coletar dados pessoais para roubo de identidade ou fraude. Outros perseguem alvos corporativos para cometer espionagem ou crimes financeiros.

    Os cibercriminosos podem personalizar seus rootkits, dependendo do seu objetivo. Alguns rootkits podem criar um "backdoor" permanente no sistema, que permanece aberto para que o cibercriminoso possa retornar posteriormente. Outros permitem que os cibercriminosos espiem enquanto você usa o seu computador. Com esses rootkits, o cibercriminoso pode interceptar o tráfego da internet, acompanhar as teclas digitadas e até ler e-mails.

    Como posso saber se meu computador tem um rootkit?

    Quando um rootkit é eficiente, você nem percebe que ele existe. Os cibercriminosos usam rootkits quando querem praticar crimes cibernéticos sem você perceber. Se você souber se um rootkit foi instalado no seu dispositivo, ele não será muito útil para o cibercriminoso que o colocou lá.

    Um escaneador de rootkit é seu melhor amigo quando se trata de detecção e remoção de rootkit. Uma ferramenta antimalware forte é a melhor maneira de se defender dos rootkits e de outras ameaças. Além dela, há outras maneiras de detectar a presença de um rootkit no seu dispositivo:

    • Seu sistema se comporta estranho: Os rootkits permitem que cibercriminosos manipulem o sistema operacional do computador. Se parecer que seu computador está fazendo algo que não deveria, pode ser a culpa de um cibercriminoso que está usando um rootkit.

    • Escaneamento de assinatura: Os computadores usam números para fazer as coisas. Todos os dados, todos os programas, todos os arquivos, tudo no seu computador é armazenado como uma série de números. A "assinatura" de um software é o conjunto de números que serve como sua representação na língua do computador. Você pode escanear seu computador, comparar com um banco de dados de assinaturas conhecidas de rootkit e verificar se alguma delas aparece.

    • Análise de descarregamento de memória: Quando seu computador com Windows encontra um erro, ele também gera algo chamado descarregamento de memória ou descarregamento de falha. Um técnico experiente pode analisar esse arquivo para identificar a origem da falha. Essa é a maneira de descobrir se a falha foi causada por um rootkit.

    • Suas configurações do Windows mudam: Em geral, seu computador não deveria fazer nada sozinho e, idealmente, quem manda é você. O acesso remoto ativado pelo rootkit pode permitir que outra pessoa altere suas configurações. Se algo parecer diferente, pode haver motivos para ficar preocupado.

    • Páginas da Web/atividades de rede intermitentes: Se a sua conexão à internet de repente piorar, isso pode ser algo além de um problema de manutenção. Se um cibercriminoso estiver usando um rootkit para enviar ou receber muito tráfego do seu computador, ele poderá atrapalhar suas atividades regulares na internet.

    • Verificação da memória do sistema: Seu computador usa a memória do sistema para executar todos os programas e outros dados atualmente em uso. Você pode verificar tudo na memória do sistema para ver se algo está fora do normal. No processo, verifique todos os pontos de entrada quanto a sinais de processos invocados e acompanhe todas as chamadas de bibliotecas importadas de DLLs. Alguns podem ser conectados ou redirecionados para outras funções.

    Isso tudo pode parecer chato e/ou difícil, bem, realmente é. Por isso, evite dores de cabeça e use uma ferramenta antimalware com um scanner de rootkit.

    Rootkits bury themselves deep into the root of your computer, avoiding detection.

    De onde surgem os rootkits? Como se espalham?

    Os rootkits estão no lado inerte do espectro de mobilidade do malware. Diferentemente dos worms e vírus, e igual aos cavalos de Tróia, os rootkits precisam de uma pequena ajuda dos amigos para chegar ao seu computador.

    Os cibercriminosos enviam seus rootkits com dois programas parceiros, um “dropper” e um “loader”, que trabalham juntos para instalar o rootkit. Juntos, os três tipos de malware compõem o que é conhecido como "ameaça combinada". Vamos dar uma olhada melhor:

    • Dropper: O trabalho do dropper é "entregar" (drop) ou importar o rootkit no computador da vítima. Abaixo, abordamos algumas das técnicas mais comuns usadas pelos cibercriminosos para colocar droppers no seu dispositivo. O dropper é o primeiro estágio do processo de instalação. Quando a vítima ativa o dropper, ele, por sua vez, ativa seu amigo, o loader.

    • Loader: Quando o dropper é executado, o loader entra em ação e instala o rootkit no sistema de destino. Os carregadores costumam fazer isso acionando um estouro de buffer. Este é um exploit de segurança comum, que permite aos cibercriminosos a implantarem seu código nas áreas da memória do computador, que não seriam acessíveis de outro jeito.

    O desafio do cibercriminoso é levar o pacote de ameaças combinadas ao seu computador. Isso pode ser feito de seguintes maneiras:

    • Programas de mensagens: Se um cibercriminoso conseguir colocar a ameaça combinada em um computador, e esse computador tiver um cliente de mensagens instantâneas instalado, a ameaça combinada poderá sequestrar o cliente para se espalhar. Ele envia uma mensagem com um link maligno para todos os contatos da vítima e, quando os contatos clicarem, seus computadores também são infectados. Esse tipo de engenharia social mostrou-se altamente eficaz para espalhar rootkits.

    • Pegando carona em software confiável: Os cibercriminosos podem inserir rootkits em programas e aplicativos confiáveis e fazer o upload desses aplicativos envenenados em vários portais de download. Ao instalar o aplicativo infectado, um rootkit é também instalado sem você saber.

    • Com outro malware: Vírus e cavalos de Tróia podem ser usados como distribuidores de rootkits, pois ambos são altamente eficazes em acessar o seu computador. Quando você executa o programa que contém o vírus ou o cavalo de Troia, eles instalam o rootkit no seu dispositivo.

    • Arquivos ricos em conteúdo: Com o advento de arquivos com conteúdo avançado, como PDFs, os cibercriminosos não precisam mais de sites ou programas dedicados para ocultar seus malwares. Em vez disso, eles podem incorporar rootkits nesses arquivos simples de conteúdo avançado. Quando você abre o arquivo contaminado, o dropper do rootkit é executado automaticamente.

    Quais são os tipos de rootkit?

    Os especialistas em segurança dividem os rootkits em seis categorias, dependendo principalmente de onde eles infectam seu computador e o nível de profundidade dessa infecção.

    Rootkits no modo de usuário

    Um rootkit desse tipo infecta a conta administrativa do seu sistema operacional. Nessa posição, ele tem todos os privilégios de nível superior necessários para alterar os protocolos de segurança do seu computador e continuar escondido, junto com qualquer outro malware que ele usa. Os rootkits no modo de usuário são iniciados automaticamente sempre que o computador é inicializado, portanto, uma simples reinicialização não será suficiente para eliminá-lo.

    Programas antimalware podem detectar rootkits no modo de usuário, pois o software de detecção de rootkit é executado em um nível mais profundo, conhecido como kernel.

    Rootkits no modo de kernel

    Em resposta aos scanners de rootkit no nível do kernel, os cibercriminosos criaram rootkits no modo kernel. Eles existem no computador no mesmo nível do sistema operacional e, como resultado, comprometem todo o sistema operacional. Simplificando, nada mais no seu computador é confiável, uma vez que ele foi atingido por um rootkit no modo kernel. Tudo está potencialmente contaminado, incluindo os resultados de escaneamentos anti-rootkit.

    Felizmente, é muito difícil criar um rootkit no modo kernel que consegue operar sem causar problemas perceptíveis para a vítima. As falhas excessivas do sistema e outros problemas que causam servem como sinais de alerta que facilitam a detecção.

    Rootkits híbridos

    Em vez de operar apenas em um local, eles colocam alguns de seus componentes no nível do usuário e outros no kernel. Isso permite que os rootkits híbridos tenham a estabilidade dos rootkits no modo de usuário com a discrição aprimorada de seus primos que residem no kernel. Consequentemente, os rootkits híbridos de usuário/kernel são um dos tipos mais populares entre os cibercriminosos agora.

    Rootkits de firmware

    Firmware é um tipo de software de baixo nível dedicado ao controle de um componente do hardware de computador. Alguns rootkits têm a capacidade adicional de se esconder no firmware quando você desliga o computador. Quando ele é ligado novamente, um rootkit desse tipo pode se reinstalar e voltar a trabalhar. Se um scanner de rootkits conseguir encontrá-lo e desativá-lo enquanto estiver em execução, o rootkit do firmware retornará na próxima vez que você ligar a máquina. Estes são extremamente difíceis de remover de um sistema de computador.

    Bootkits

    Quando você liga o computador, ele consulta o MBR (Master Boot Record) para obter instruções sobre como carregar o sistema operacional. Bootkits, também conhecidos como rootkits do bootloader, são uma variante do modo kernel que infecta o MBR do seu computador. Toda vez que seu computador consulta seu MBR, o bootkit também é carregado.

    Os programas antimalware têm dificuldade em detectar bootkits, como acontece com todos os rootkits no modo kernel, já que os bootkits não residem no sistema operacional. Bootkits já tornaram-se obsoletos, pois o Windows 8 e o Windows 10 os combatem com o recurso Inicialização Segura (Secure Boot).

    Rootkits virtuais

    Hospedada em um computador físico, uma máquina virtual é uma emulação baseada em software de um computador separado. Máquinas virtuais são comumente usadas para permitir que vários sistemas operacionais sejam executados em um conjunto de hardware ou para testar programas em um ambiente isolado.

    Os rootkits virtuais, ou rootkits baseados em máquina virtual (VMBRs), carregam-se sob o SO original e, em seguida, colocam esse SO em uma máquina virtual. Como eles são executados separadamente do sistema operacional do computador, são muito difíceis de detectar.

    Exemplos notáveis de rootkits

    O surgimento de um novo rootkit imediatamente se torna um dos problemas mais importantes na comunidade de segurança cibernética. Como eles são muito difíceis de eliminar, quando um grande rootkit aparece, ele causa muitos problemas. Vamos dar uma olhada em alguns dos rootkits mais conhecidos da história, alguns criados por cibercriminosos e outros, surpreendentemente, criados e usados por grandes corporações.

    • 1990: Lane Davis e Steven Dake criam o primeiro rootkit conhecido na Sun Microsystems para o SunOS Unix OS.

    • 1999: Greg Hoglund publica um artigo detalhando a criação de um cavalo de Tróia chamado NTRootkit, o primeiro rootkit para Windows. Ele é um exemplo de vírus rootkit que funciona no modo kernel.

    • 2003: O rootkit HackerDefender aparece para Windows 2000 e Windows XP e é um rootkit no modo de usuário. O surgimento do HackerDefender desencadeou um jogo de gato e rato entre ele e a ferramenta anti-rootkit RootkitRevealer.

    • 2004: Um rootkit é usado para acessar mais de 100 telefones celulares na rede da Vodafone na Grécia, incluindo o telefone usado pelo primeiro-ministro do país, em um ataque que ficou conhecido como Watergate grego.

    • 2005: A Sony BMG é atingida por um enorme escândalo depois de distribuir CDs que instalam rootkits como uma ferramenta antipirataria, sem o consentimento dos consumidores.

    • 2008: O bootkit TDL-4, conhecido na época como TDL-1, alimenta o infame cavalo de Troia, Alureon, usado para criar e manter botnets.

    • 2009: O rootkit Machiavelli, que é uma prova de conceito, tem como alvo o macOS (então chamado Mac OS X)e mostra que os Macs também são vulneráveis a rootkits.

    • 2010: O worm Stuxnet, supostamente desenvolvido em conjunto por EUA e Israel, usa um rootkit para ocultar sua presença, pois seu alvo foi o programa nuclear do Irã.

    • 2012: Um enorme malware modular de 20 MB, conhecido como Flame, é relativamente grande, já que muitos malwares têm menos de 1 MB. Ele foi descoberto ao causar estragos em toda a infraestrutura no Oriente Médio e no norte da África. 

    • 2018: LoJax é o primeiro rootkit que infecta o UEFI do computador, o firmware que controla a placa-mãe, permitindo que o LoJax sobreviva à reinstalação do sistema operacional.

    A timeline of notable rootkits throughout history

    Medidas anti-rootkit

    Como os rootkits podem ser extremamente difíceis de remover, sua melhor tática anti-rootkit é evitar instalá-los. Ter hábitos inteligentes de segurança online já ajuda muito para se manter livre de rootkits.

    Desconfie de arquivos desconhecidos enviados a você, mesmo de um contato confiável. Confirme que o envio foi intencional antes de abrir. Nunca abra anexos em e-mails de remetentes desconhecidos.

    Obtenha seu software de fontes confiáveis, diretamente do fabricante, se possível, ou da App Store ou do Google Play. Leia com atenção os termos e condições para garantir que ninguém esteja tentando inserir um rootkit no seu dispositivo.

    Instale as atualizações do sistema assim que estiverem disponíveis. Essas atualizações geralmente corrigem vulnerabilidades descobertas recentemente, que os cibercriminosos podem explorar para acessar seu dispositivo.

    Não confie apenas no Windows Defender ou em outro software de segurança integrado, se o seu dispositivo tiver algum, pois a maioria dos rootkits pode facilmente contornar essas proteções básicas. Para proteção completa, vale a pena considerar um software especializado.

    Proteja-se com software anti-rootkit

    Você não está sozinho na luta contra rootkits. Com mais de 400 milhões de usuários, o Avast defenderá contra todos os tipos de malware, incluindo rootkits. Obtenha um dos mais fortes escâneres e removedores de rootkits da internet, totalmente gratuitos, ao instalar o Avast Free Antivirus.

    Proteja seu iPhone contra ameaças
    com o Avast Mobile Security

    BAIXAR GRÁTIS

    Proteja seu Android contra ameaças
    com o Avast Mobile Security

    BAIXAR GRÁTIS