Rootkit sul PC: ecco come proteggersi

Rootkit sul PC: ecco come proteggersi

Rileva rootkit e proteggiti da esso

Gran parte del malware utilizzato dai criminali di tutto il mondo non viene rilevato dalle loro vittime. Ciò è dovuto anche a malware come il rootkit. Ti mostreremo in modo facile da capire cos'è un rootkit, quali tipi ci sono e come puoi proteggere il tuo computer da essi con gli strumenti giusti.

Che cos'è un rootkit?

Un rootkit è un malware nascosto molto in profondità nel sistema operativo. A causa della loro programmazione, i rootkit possono quindi essere generalmente rilevati e rimossi solo con il software antivirus appropriato.

La funzione centrale dei rootkit è quella di consentire a terzi l'accesso a un computer estraneo. Puoi controllarlo da remoto, manipolarlo o rubare dati. Gli attacchi rootkit vengono utilizzati, ad esempio, anche per installare software con cui gli aggressori possono controllare una botnet in remoto.

Un rootkit di solito consiste in un insieme di malware. Un rootkit può contenere keylogger, bot o ransomware.

Info: da dove deriva il nome "rootkit"?

Il termine “rootkit” è composto dalle parole “root” (tedesco = root = directory più alta in un file system; utente con tutti i diritti di amministratore) e “kit” (tedesco = set). Il rootkit è una raccolta completamente neutra di applicazioni software che possono utilizzare i diritti di amministratore. Ma quando questi diritti vengono utilizzati per ricaricare il malware, il rootkit stesso diventa malware.

Rootkit: ci sono questi tipi

I rootkit sono generalmente classificati in base alla profondità con cui agiscono nel file system del computer in questione.

Rootkit in modalità utente

Il principale interessato da questi rootkit è l'account amministratore sul tuo computer. Il malware ha tutti i vantaggi dell'accesso come amministratore a file o programmi e può, ad esempio, modificare le impostazioni di sicurezza. La cosa complicata di questi rootkit: vengono avviati automaticamente ogni volta che il computer viene riavviato.

Rootkit del modello del kernel

Questi rootkit funzionano direttamente a livello di sistema operativo e quindi hanno la possibilità di manipolare tutte le aree del sistema operativo. Anche le scansioni antivirus possono produrre risultati errati se infettati da un rookit in modalità kernel. Tuttavia, i rootkit del kernel devono superare molti ostacoli prima di poter rimanere bloccati nel kernel. Di solito vengono notati in anticipo, ad esempio perché il computer continua a bloccarsi.

Rootkit firmware

Questi rootkit possono impiantare il firmware dei sistemi informatici. Una volta eliminati, vengono reinstallati automaticamente ad ogni riavvio. Ciò rende i rootkit del firmware particolarmente persistenti e rende difficile la loro rimozione.

Kit di avvio

Questi rootkit rimangono bloccati nel settore di avvio. Quando si avvia il PC, il sistema utilizza il record di avvio principale. Lì troverai anche il kit di avvio, che viene caricato ad ogni avvio. Gli utenti dei sistemi operativi Windows più recenti come 8 o 10 dispongono di una protezione importante.Queste versioni dispongono già di sistemi di sicurezza che impediscono l'avvio dei kit di avvio all'accensione del computer.

Rootkit virtuali

Questi rootkit si installano su una macchina virtuale e possono accedere a un computer infetto al di fuori del sistema operativo effettivo. Ciò li rende difficili da rilevare per il software di protezione antivirus.
Rootkit ibridiQuesti rootkit dividono il software e ne installano parti nel kernel e altre parti a livello di utente. Questi rootkit sono vantaggiosi per i criminali perché funzionano in modo molto stabile a livello di utente e allo stesso tempo agiscono nel kernel, cioè mimetizzati.

Per proteggersi da queste minacce insidiose, gli scanner antivirus, tra le altre cose, devono disporre di definizioni dei virus aggiornate.

Come fa un rootkit a entrare nel computer?

I rootkit hanno sempre bisogno di un "veicolo" con cui potersi impiantare su un computer. Di norma, quindi, un rootkit è sempre composto da tre componenti, il rootkit stesso, il contagocce e il caricatore. Il contagocce è paragonabile a un virus informatico che infetta il tuo computer. Perché il contagocce sta cercando una falla di sicurezza per salvare il rootkit sul dispositivo desiderato. Quindi viene utilizzato il caricatore. Installa il rootkit sul computer infetto, ad esempio nel kernel o a livello utente se si tratta di un rootkit in modalità utente.

I rootkit utilizzano i seguenti supporti per l'eliminazione:

Messaggero

Ad esempio, se ricevi un collegamento o un file dannoso tramite un messenger e apri il collegamento o il file, il contagocce può posizionare il rootkit sul tuo dispositivo.

Software e app compromessi:

I rootkit possono essere "trasportati di nascosto" in software o app affidabili dagli hacker. I file vengono distribuiti su Internet come offerte gratuite, ad esempio. Non appena installerai questi programmi, scaricherai anche il rootkit sul tuo computer.
File PDF o Office:I rootkit possono nascondersi nei file di Office o nei PDF, sia come allegati di posta che come download. Non appena apri il file, il contagocce inserisce il file nel tuo computer e il caricatore inizia l'installazione in background.

Come riconosco un rootkit sul mio computer (scanner rootkit)?

Per rilevare in modo affidabile i rootkit e quindi rimuoverli, è necessario uno scanner per rootkit, incluso nella scansione antivirus di potenti programmi antivirus. Ad esempio, queste scansioni possono riconoscere le firme dei rootkit comuni. Con queste firme, i numeri nel codice sono disposti in una certa forma. Ma ci sono anche alcuni segni sul tuo computer che possono indicare una possibile infezione con un rootkit.

  • Comportamento insolito del tuo computer: I rootkit sono caratterizzati dalla loro non appariscenza. Tuttavia, può succedere che il tuo computer si comporti in modo diverso dal solito, ad esempio aprendo involontariamente programmi o avviando processi che non hai avviato.
  • Le impostazioni del tuo sistema cambiano senza alcuna azione da parte tua: Se scopri, ad esempio, che il tuo computer generalmente consente l'accesso remoto o apre porte, la causa potrebbe essere un rootkit.
  • Analisi del dump della memoria: Quando un computer si blocca, Windows crea un'immagine della memoria di sistema. Gli esperti possono utilizzare questo file per identificare modelli insoliti creati da un rootkit.
  • La tua connessione Internet è sempre instabile: I rootkit possono, ad esempio, garantire grandi flussi di dati attraverso i quali gli hacker possono accedere ai dati. Questi movimenti di dati possono rendere la tua linea Internet molto lenta o addirittura causarne l'arresto anomalo.

Come posso proteggermi da un rootkit?

La protezione più importante contro i rootkit è l'uso di un programma di protezione antivirus aggiornato. Dotato delle ultime definizioni dei virus, la protezione in tempo reale può avvisarti di download e installazioni pericolosi e utilizzare uno scanner antivirus per controllare regolarmente il tuo computer per i rootkit.

Inoltre, si raccomandano le seguenti misure:

  • Utilizza un solo account utente nella vita di tutti i giorni e non l'accesso come amministratore: Se accedi a Windows o iOS con un account ospite, hai solo diritti limitati. Se infetti il tuo computer con un rootkit durante questo periodo, il contagocce può accedere solo a questo livello utente e, ad esempio, non può accedere direttamente al kernel.
  • Aggiorna regolarmente il tuo sistema operativo e il software: I produttori colmano le note lacune di sicurezza con aggiornamenti regolari. È quindi imperativo eseguire tutti gli aggiornamenti necessari.
  • Scarica file da Internet solo da siti Web affidabili: Evita download potenzialmente pericolosi, minimizza il rischio di diventare vittima di un rootkit.
  • Apri solo allegati e-mail da mittenti di cui ti fidi: se ricevi e-mail da mittenti con indirizzi e-mail criptici, è meglio eliminarli. Se un allegato di posta elettronica proveniente da un indirizzo familiare ti sembra strano, è meglio verificare nuovamente con il mittente prima di aprire l'allegato di posta elettronica.
  • Installa le app per smartphone solo dagli app store ufficiali: Se ricevi app da fonti ufficiali, sono già sottoposte a un controllo di sicurezza. Ciò ridurrà il rischio di caricare un rootkit sul tuo smartphone.

Rimuovere rootkit - come procedere

Dovresti sempre rimuovere i rootkit con un software antivirus speciale. Poiché questo malware può insediarsi in profondità nel sistema operativo del tuo computer, la rimozione manuale è solitamente molto difficile. Se dimentichi piccoli resti del rootkit quando lo elimini, di solito si reinstallerà da solo al riavvio.

Il modo migliore per rimuovere i rootkit è utilizzare un programma antivirus aggiornato con le definizioni dei virus più aggiornate. Si consiglia quindi una scansione antivirus in modalità provvisoria in modo che il rootkit non possa, ad esempio, ricaricare i dati da Internet. Spesso è necessario eseguire più volte la scansione antivirus o antimalware per eliminare completamente un rootkit.

Questo articolo ti fornirà istruzioni dettagliate su come trovare ed eliminare i rootkit.

Rootkit conosciuti

I rootkit sono minacce Internet molto vecchie. Uno dei primi rootkit conosciuti è il malware che ha attaccato principalmente i sistemi operativi Unix nel 1990. Il primo rootkit noto per computer Windows è stato il rootkit NTR, in circolazione nel 1999. Questo è un rootkit del kernel.

Tra il 2003 e il 2005 ci sono stati vari attacchi importanti con rootkit, incluso un attacco ai telefoni cellulari che sono stati attivati nella rete Vodafone Grecia. Questo rootkit divenne noto come "Greek Watergate" perché, tra le altre cose, il primo ministro greco ne fu colpito.

Nel 2008 il kit di avvio TDL-1 ha imperversato. I criminali informatici lo hanno utilizzato per costruire una grande botnet con l'aiuto di un cavallo di Troia.

Nel 2009 è stato scoperto per la prima volta un rootkit che infetta anche i sistemi operativi Apple. Fu battezzato "Machiavelli".

Nel 2010 infuriava il worm Stuxnet. Tra le altre cose, ha usato un rootkit che avrebbe dovuto spiare il programma nucleare iraniano. I servizi segreti israeliani e statunitensi sono sospettati di essere sviluppatori e aggressori.

Con LoJax, nel 2022-2023 è stato scoperto un rootkit che infetta per la prima volta il firmware sulla scheda madre di un computer. Ciò consente al malware di riattivarsi quando il sistema operativo viene reinstallato.

Conclusione: difficile da rilevare, ma con un software antivirus aggiornato e attenzione, il rischio può essere ridotto

Poiché i rootkit sono profondamente integrati nel sistema operativo di un computer, la prevenzione è particolarmente importante. Una volta installato un rootkit, è difficile per i non addetti ai lavori rilevare un'infezione. Tuttavia, chiunque sia cauto su Internet con un sistema di protezione antivirus aggiornato e gli strumenti appropriati e che non apra file sconosciuti con noncuranza riduce la probabilità di cadere vittima di un rootkit.

Aiuterete lo sviluppo del sito, condividere la pagina con i tuoi amici

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
Conta i giorni del fine settimana in un elenco di date di Excel
2
post-title
Errore di Outlook: Outlook non utilizza l'account selezionato per l'invio
3
post-title
Come organizzare la tua raccolta musicale con Jajuk
4
post-title
Come utilizzare gli elementi di navigazione per facilitare l'orientamento in lunghe presentazioni
5
post-title
Chiarezza e dinamismo

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -