Como verifico meu computador em busca de rootkits?
Os especialistas geralmente concordam que é difícil estimar quantos computadores estão comprometidos por rootkits maliciosos, mas os números parecem estar subindo se a lista crescente de rootkits conhecidos é alguma indicação. Acredita-se que as infecções sejam as mais altas nos EUA, com até um computador em cada quatro infectados, de acordo com pelo menos uma estimativa. Infelizmente, não é fácil detectar um rootkit, pois uma de suas principais funções é permanecer oculto. Pacotes de software chamados "anti-rootkits" estão disponíveis para varredura de rootkits, mas a prevenção é altamente recomendada.
Em alguns casos, pode haver sinais reveladores de que um rootkit está presente em um sistema. Por exemplo, um usuário pode estar processando texto ou navegando na Internet quando percebe que o computador está processando dados extremamente lentos. Ao verificar o sistema, pode ficar claro que a unidade de processamento do computador (CPU) está com poucos recursos. Isso pode ocorrer porque a CPU está fazendo um trabalho em segundo plano para um rootkit. Um rootkit mal escrito também pode causar a falha do computador repetidamente, embora esses problemas também possam ser atribuídos a outras causas.
Para garantir a segurança, é melhor verificar se há rootkits no seu computador semanalmente e depois fazer backup do sistema limpo para se proteger contra problemas futuros. Alguns pacotes anti-rootkit oferecem a remoção de certos tipos de rootkits, mas geralmente é recomendável que, se um rootkit for encontrado, o disco rígido seja reformatado e o sistema reconstruído. É muito difícil ter certeza de que um rootkit é completamente removido e, em alguns casos, a remoção de um rootkit pode deixar “buracos” no sistema, tornando-o instável.
Existem vários tipos de rootkits e nem todos os programas de verificação procuram todos os tipos de rootkits. Os anti-rootkits "baseados em assinatura" procuram por rootkits conhecidos, o que pode ser útil se o sistema estiver infectado com um kit conhecido, mas novos rootkits são lançados na natureza todos os dias. Outros programas anti-rootkit procuram rootkits nos arquivos, mas não no registro.
O software anti-rootkit de uma fonte não confiável pode realmente ser projetado para instalar um rootkit, em vez de procurar por um, tornando-se prudente manter programas lançados por empresas de software conhecidas e especializadas em software de segurança. Alguns programas anti-rootkit populares que se enquadram nessa categoria incluem o AVG Anti-Rootkit , o BlackLight da F-Secure , o Sophos Anti-Rootkit e o Anti-Rootkit da Panda .
Em abril de 2007, a PC Magazine ™ testou e revisou vários programas anti-rootkit para verificar a eficácia. A Escolha do Editor foi para o Anti-Rootkit da Panda , relatado como aprofundando o sistema do que os outros localizadores de rootkit revisados na época. O Panda Anti-Rootkit também encontrou todos os rootkits plantados no teste e, como muitos outros anti-rootkits, é grátis. O uso de mais de um programa anti-rootkit também pode ser prudente.
Um protocolo sensato a seguir é procurar rootkits semanalmente e depois clonar o disco rígido ou fazer backup do sistema em uma imagem localizada em uma unidade secundária. Usando esta estratégia, se um rootkit for encontrado, você não precisará confiar na remoção. Uma imagem de disco recente permite a opção de reformatar a unidade infectada e restaurar a imagem para garantir um sistema limpo e estável com pouco tempo de inatividade.
Para impedir o download de rootkits, evite abrir emails provenientes de fontes desconhecidas, mantenha o sistema operacional atualizado com os hotfixes mais recentes e execute programas antivírus e anti-spyware com as atualizações atuais. Para minimizar ainda mais os riscos, use um firewall e não permita que sites instalem software, a menos que você tenha certeza de que o site é confiável.