Rootkit é um programa que esconde suas próprias ações maliciosas de antivírus, ou mascara o trabalho de outros malwares, por exemplo, um Trojan. O rootkit oculta, em particular, processos do sistema, arquivos, drivers, entradas de registro e Conexões de rede, impedindo que os antivírus identifiquem vestígios da presença desse programa malicioso.
auditoria de segurança da Informação
A funcionalidade dos rootkits é diversa: eles podem roubar senhas, dados de cartões bancários, ler toques no teclado, controlar remotamente bots para ataques DDoS, desativar antivírus, etc.
O nome foi formado a partir de root (“superusuário” na terminologia Unix) e kit (“kit”). Ou seja, um rootkit é um conjunto de ferramentas para ações do sistema com direitos de administrador. Na verdade, em termos de direitos, os rootkits são divididos em duas categorias: nível de usuário e nível de kernel.
Um rootkit com direitos de usuário tem o mesmo status de qualquer aplicativo regular instalado por um usuário vítima. Eles se disfarçam como um processo do sistema e parasitam os aplicativos, atrapalhando seu trabalho ou corrigindo-o da maneira correta.
Os rootkits “nucleares” obtêm acesso total ao sistema no nível do kernel do so. Este é o tipo mais perigoso deles. Detectar e remover um rootkit nuclear é muito mais difícil do que um rootkit no nível do Usuário. Um exemplo é o bootkit Backdoor (uma subespécie do rootkit).Win32.Sinowal, que infecta o setor de boot do disco rígido MBR (Master Boot Record) e roda antes do sistema inicializar, ganhando controle total sobre ele.
Os Rootkits são baixados sob o disfarce de software livre, se escondem atrás de banners e links em sites infectados e são baixados de unidades externas (pen drives, cartões SD, discos).