Come controllo il mio computer alla ricerca di rootkit?
Gli esperti generalmente concordano sul fatto che è difficile indovinare quanti computer sono compromessi da rootkit dannosi, ma i numeri sembrano salire se l'elenco crescente di rootkit noti è indicativo. Le infezioni sono ritenute le più alte negli Stati Uniti, con almeno un computer su quattro infette, secondo almeno una stima. Sfortunatamente, non è facile rilevare un rootkit poiché una delle sue funzioni principali è quella di rimanere nascosta. Pacchetti software chiamati "anti-rootkit" sono disponibili per la ricerca di rootkit, ma è fortemente raccomandata la prevenzione.
In alcuni casi possono esserci segni rivelatori che un rootkit è presente su un sistema. Ad esempio, un utente potrebbe eseguire l'elaborazione di testi o una semplice navigazione in Internet quando nota che il computer sta elaborando dati estremamente lenti. Al momento del controllo del sistema, potrebbe risultare chiaro che l'unità di elaborazione del computer (CPU) ha poche risorse. Ciò potrebbe essere dovuto al fatto che la CPU sta eseguendo un lavoro in background per un rootkit. Un rootkit scritto male potrebbe anche causare l'arresto anomalo ripetuto di un computer, sebbene questi problemi possano anche essere attribuibili ad altre cause.
Per sicurezza, è meglio controllare settimanalmente i rootkit del computer, quindi eseguire il backup del sistema pulito per proteggersi da problemi futuri. Alcuni pacchetti anti-rootkit offrono la rimozione di alcuni tipi di rootkit, ma è generalmente consigliabile che se viene trovato un rootkit, il disco rigido venga riformattato e il sistema ricostruito. È molto difficile essere sicuri che un rootkit sia stato completamente rimosso e, in alcuni casi, la rimozione di un rootkit può lasciare "buchi" nel sistema, rendendolo instabile.
Esistono diversi tipi di rootkit e non tutti i programmi di scansione cercano tutti i tipi di rootkit. Gli anti-rootkit "basati su firma" cercano rootkit noti, che possono essere utili se il sistema è infetto da un kit noto, ma ogni giorno vengono rilasciati nuovi rootkit in libertà. Altri programmi anti-rootkit cercano i rootkit nei file, ma non nel registro.
Il software anti-rootkit proveniente da una fonte non attendibile potrebbe effettivamente essere progettato per installare un rootkit anziché scansionarne uno, il che rende saggio attenersi ai programmi rilasciati da note società produttrici di software specializzati in software di sicurezza. Alcuni popolari programmi anti-rootkit che rientrano in questa categoria includono AVG Anti-Rootkit , BlackLight di F-Secure , Sophos Anti-Rootkit e Anti-Rootkit di Panda .
Nell'aprile 2007 PC Magazine ™ ha testato e revisionato diversi programmi anti-rootkit per verificarne l'efficacia. La scelta del redattore è andata all'Anti-Rootkit di Panda , segnalato come approfondimento nel sistema rispetto agli altri cercatori di rootkit recensiti all'epoca. Panda Anti-Rootkit ha anche trovato tutti i rootkit piantati nel test e, come molti altri anti-rootkit, è gratuito. L'uso di più di un programma anti-rootkit potrebbe anche essere prudente.
Un protocollo ragionevole da seguire è quello di cercare settimanalmente i rootkit, quindi clonare il disco rigido o eseguire il backup del sistema su un'immagine situata su un'unità secondaria. Usando questa strategia, se dovresti trovare un rootkit non devi fare affidamento sulla rimozione. Un'immagine del disco recente consente di riformattare l'unità infetta e di ripristinare l'immagine per garantire un sistema pulito e stabile con tempi di inattività ridotti.
Per impedire il download di rootkit, evitare di aprire e-mail provenienti da fonti sconosciute, mantenere il sistema operativo aggiornato con gli aggiornamenti rapidi più recenti ed eseguire programmi antivirus e antispyware con gli aggiornamenti correnti. Per minimizzare ulteriormente il rischio, utilizzare un firewall e non consentire ai siti Web di installare software a meno che non si sia certi che il sito possa essere considerato attendibile.