Pular para o conteúdo principal

TÉCNICAS DE ROOTKIT



TÉCNICAS DE ROOTKIT
O que são e como funcionam
Por Luís Fernando da Silva Bittencourt


Muitas pessoas conhecem os riscos da navegação pela internet, ou de simplesmente deixar um computador conectado várias horas por dia. Vírus, trojan, cavalos-de-tróia, spyware, malware já foram incorporados ao nosso vocabulário e as nossas preocupações do dia a dia. Os rootkits são a evolução destas ameaças, pois uma pessoa desavisada pode ter um ou vários arquivos desta natureza em seus equipamentos e não saber.
Rootkits são um tipo de vírus surgido nos últimos anos. A principal intenção dele é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado. Por exemplo, quando o Windows faz um pedido para a leitura ou abertura de um arquivo (seja a mando do antivírus ou pelo próprio usuário), o vírus intercepta os dados que são requisitados (intercepção via API, Application Programming Interface) e faz uma filtragem dessa informação, deixando passar apenas o código não infectado. Desta forma, o antivírus ou qualquer outra ferramenta fica impossibilitado de encontrar o arquivo malicioso.
API é um conjunto de rotinas e padrões estabelecidos por um software para a utilização das suas funcionalidades por programas aplicativos -- isto é: programas que não querem envolver-se em detalhes da implementação do software, mas apenas usar seus serviços.
Normalmente são instalados na máquina hospedeira juntamente com pacotes de softwares baixados da internet, incluídos no código fonte de programas aparentemente inofensivos como jogos, editores de imagens e texto; ou pelas vulnerabilidades existentes nos sistemas operacionais desatualizados.
O rootkit não ataca necessariamente o computador, mas pode monitorar suas atividades. Com ele, o hacker pode acessar informações pessoais, monitorar ações do usuário da máquina, modificar programas ou realizar outras funções sem ser detectado.
Possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como “root” é o usuário com o controle total do computador nas plataformas, inicialmente só Unix, hoje proliferado em várias plataformas, originou-se o nome “rootkit” para denominar estes conjuntos de aplicativos.
Conforme definição achada na Wikipédia: "Definição: Código ou conjunto de códigos usados após ou durante uma invasão a fim de ocultar as ações do invasor no computador da vítima ou rede atacada. Os novos Rootkits envolvem a miscelânea do executável 'Rootkit + Exploits...' Os rootkits mais básicos fazem o seu serviço de um modo "curto e grosso", ou seja a ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato, já que as possibilidades de um net-usuário experiente + sitema seguro, são quase nulas... Já os ROOTKITS mais elaborados alteram arquivos, têm opções iguais ao comando normal, e até enganam verificadores de arquivos para que eles não possam ser detectados pelo seu código CRC (código que verifica a validade de um arquivo). Mesmo sabendo que o conhecimento está se expandindo por todos os lados na internet, ainda há quem não se preocupe com a segurança digital."
Vale lembrar que enquanto um rootkit pode ser instalado em um computador por meio de um vírus ou trojan, o programa em si não é considerado um malware. Como eliminar um rootkit? Mesmo que o usuário descubra que algum programa deste tipo está instalado no seu computador, é aconselhável contatar um técnico especializado tendo em vista as características de se ocultar em arquivos de uso do sistema operacional, se camuflando ou até mesmo substituindo o que desaconselharia qualquer tentativa de remoção manual do sistema, sob pena de inutilização do próprio sistema operacional. Como alternativa, já é possível encontrar produtos e ferramentas que removem rootkits dos computadores. Atualmente é possível localizar ferramentas na própria internet para a remoção de rootkits, como por exemplo neste link, entretanto vale lembrar que o melhor mesmo é a reinstalação do sistema.

Comentários

Postagens mais visitadas deste blog

ARTIGO: VINCULAR FOTOS NO MS ACCESS

por Luís Fernando da Silva Bittencourt

Estes dias estava em um fórum na web e notei a grande dificuldade dos usuários mais inexperientes quanto à vinculação de imagens no MS ACCESS. O recurso de vinculação de imagens serve para não sobrecarregar a base de dados com objetos OLE, pois neste aplicativo as imagens podem ser inseridas diretamente na base de dados, aceitando imagens no formato bmp. Entretanto, “o peso” gerado, dependendo da função da base de dados criada com o Access, logo esgotará a possibilidade de novos cadastros, haja vista existir uma limitação de 4Gb de registros.

Então, ao invés de se inserir uma foto no formato bmp diretamente na base de dados, fica muito mais lógico guardar apenas o caminho desta imagem, fazendo com que o nosso sistema busque a imagem respectiva e a apresente em um formulário de consulta ou relatório.

Para tanto, devemos inicialmente criar na respectiva tabela (objeto do MS Access responsável pela guarda das informações, sendo esta a base de dados pro…

Destaque: Relação das Portas TCP/IP Mais Usadas!

por Luís Fernando da Silva Bittencourt

Uma das primeiras providências a se fazer quando existe a suspeita de algum tipo de invasão em um microcomputador é a verificação imediata das portas TCP/IP que estão em execução. Normalmente para isso é usado o comando NETSTAT (pretendo postar uma matéria específica futuramente), ou outro método qualquer de preferência do usuário. Entretanto, usuários menos experientes não sabem o tipo de serviço executados pelas portas em questão, para tanto relacionei as principais visado facilitar o entendimento destas, conforme segue: Observação: Para localizar um item específico use "Ctrl + F".
Porta Serviço 1 tcpmux
3
4
5 rje
7 echo
9 discard
11 systat
13 daytime
15 netstat
17 qotd
18 send/rwp
19 chargen
20 ftp-data
21 ftp
22 ssh, pcAnywhere
23 Telnet
25 SMTP
27 ETRN
29 msg-icp
31 msg-auth
33 dsp
37 time
38 RAP
39 rlp
40
41
42 nameserv, WINS
43 whois, nickname
49 TACACS, Login Host Protocol
50 RMCP, re-mail-ck
53 DNS
57 MTP
59 NFILE
63 whois++
66 sql*net
67 bootps
68 bootpd/dhcp
69 Tri…

ACCESS- CONTADOR DE REGISTROS

Olá meus amigos. Desta vez gostaria de postar uma idéia para um contador simples que pode servir como numeração de protocolo para registro de entrada de documentos. Bem, para começarmos, devemos criar uma consulta que vou chamar de "cns_contagem", onde colocaremos os campos base para o nosso contador. Estes campos são os de preenchimento obrigatório como Id, nome, registro etc.
No formulário, deve ser criado um campo chamado "protocolo" e nas propriedades deste campo, no evento "Ao receber foco", deve ser colocado o seguinte:

Dim N 'declaração da variável que vai receber o valor armazenado.
Dim contar 'declaração da variável q vai fazer a contagem.
contar = DCount("Id", "cns_contagem")
N = contar + 1 'Acrescenta 1 a contagem feita.

MyDate = Now()
MyYear = Year(MyDate) 'MyYear recebe o valor correspondente ao ano atual.

'bem, agora é só montar o valor que irá aparecer no campo protocolo
Me.protocolo.…