ROOTKIT E NON SOLO

Le peculiarità del funzionamento del rootkit – possibilità di alterare il kernel, occultare porte, processi, cartelle, chiavi di registro, ecc… – ne rendono difficoltosa l’identificazione proprio perché in grado di insediarsi ad un livello tale da impedire ogni sorta di monitoraggio da parte dei più diffusi applicativi di protezione.

In questi ultimi periodi la preoccupazione di cadere vittime di false mail inviate da bande di phisher ha distratto gli utenti dalle minacce di dialer, virus e dei ben più famelici rootkit.
Questi ultimi – già noti ai tempi del sistema operativo DOS con la denominazione di tecnologia stealth – permettono di ottenere il controllo di un computer, solitamente da remoto, in maniera assolutamente invisibile ai più comuni strumenti di amministrazione.
Le peculiarità del funzionamento di questo software – possibilità di alterare il kernel, occultare porte, processi, cartelle, chiavi di registro, ecc… – ne rendono difficoltosa la sua identificazione proprio perché in grado di insediarsi ad un livello tale da impedire ogni sorta di monitoraggio da parte dei più diffusi applicativi di protezione.
Di per sé il rootkit potrebbe non essere considerato pericoloso se non fosse per il fatto che le sue potenzialità possono essere sfruttate da diversi malware per “operare indisturbati” e in completa trasparenza.
L’inglese Prevx LTD – società che si propone di offrire prodotti per la sicurezza informatica – mette a disposizione, accedendo al proprio sito web – www.prevx.com -, un tool gratuito che consente di rilevare, oltre a spyware, trojan, ecc…, anche rootkit mediante una scansione on-line del PC.
Il nome del software? Ovviamente Prevx CSI – Computer Security Investigator -.
Da statistiche fornite da questa impresa – il cui motto è “smascheriamo le minacce che altri non trovano” – è emerso che di circa 290.000 computer che hanno utilizzato una precedente release – che non implementava ancora il riconoscimento dei rootkit – ben oltre 45.000 risultavano essere contagiati da diversi tipi di infezioni.
Con l’introduzione della nuova distribuzione, è stato evidenziato, invece, che di circa 110.000 utenti che se ne sono avvalsi, 1.600 avevano un rootkit installato sulla postazione personale e ben 13 compagnie – su un campione di 93 – avevano una o più workstation contaminate all’interno della propria rete.
L’applicazione, secondo quanto segnalato dai responsabili della Prevx, da test e confronti effettuati con altri prodotti antivirus ha dimostrato di assolvere il proprio compito in maniera decisamente convincente sia in termini di rilevazione che di rimozione.
Tuttavia per poter procedere con quest’ultima azione è necessario eseguire un upgrade – a pagamento – della versione fornita gratuitamente.
Se, in genere, le aziende produttrici di antivirus procedono alla ricerca dei file corrotti confrontandola con l’impronta virale ricavata nei laboratori, la metodologia utilizzata dalla Prevx è quella di andare a individuarli, invece, mediante la comparazione in tempo reale direttamente sull’apparato dell’utente del comportamento del “sabotatore” rispetto ad un database costantemente aggiornato con i risultati ottenuti da ciascuna scansione avvenuta su ogni singolo apparato.
Sebbene il nome possa trarre in inganno, questo strumento nulla ha a che vedere con le conosciute serie televisive, si spera, comunque, che almeno le ricognizioni siano efficaci come le indagini condotte dai protagonisti sui set cinematografici.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Leggi anche:  Clusit, “tutelare la privacy per salvaguardare la società digitale e le istituzioni”