ROOTKITS &

VISO
GERAL

BACKDOORS
rootkits no sistema, j que no so apenas estes softwares maliciosos que adotam a ocultao como sistema de defesa. No entanto, sendo altamente eficientes, os rootkits so tratados por programas parte especializados na sua remoo.

Um rootkit um trojan que tem como objetivo, obter privilgios de acesso ao sistema hospedeiro, sem a percepo dos softwares de segurana e do usurio, atravs do uso de diversas tcnicas avanadas de programao. Rootkits escondem a sua presena no sistema, escondendo suas chaves no registro (para que o usurio no possa v-las) e ocultando os seus processos no Gerenciador de Tarefas, alm de retornar sempre erros de arquivo inexistente ao tentar acessar os arquivos do trojan. Eles tambm utilizam-se, muitas das vezes, de drivers, isto , arquivos de sistema, para se esconderem de antivrus, que ao lidarem com essas situaes, iro "pensar" que o rootkit um servio legtimo do sistema operacional. Os rootkits mais avanados so bem difceis de serem removidos. Poucos antivirus hoje conseguem identificar e eliminar essas pragas. -- [by Wikipedia]. J backdoors (tambm chamados de cavalo-detria) so uma classe parte, os quais especializam-se em aproveitar falhas de segurana para abrirem portas do sistema, facilitando a vida do invasor.

EXPERIMENTOS
1.

PRTICO

Antes de mais nada, instalem os seguintes programas: Microsoft Security Essentials (anti-vrus), SpyBoot S&D (anti-spyware) e o Sophos (anti-rootkit); seguir, o Project R3x e o NMAP (escaneamento de portas); por fim, o SysInspector (gerenciador de processos) e o SysInternal Suite (sute completa de aplicativos). Para iniciar as atividades, vamos procurar na Internet um site contaminado propositalmente com softwares maliciosos. Acessem-no e contaminem propositalmente o sistema em uso. Iniciem a busca atravs do Gerenciador de Processos do Windows XP e tentem identificar os processos suspeitos de serem malwares. Logo em seguida, experimentem utilizar um gerenciador de processos mais eficiente, como o SysInspector e o SysInternal Suite. Para experimentar a capacidade de deteco de rootkits dos antivrus, faam uma varredura completa com o anti-vrus indicado (embora possam escolher outro qualquer de sua preferncia. Depois que alguns vrus, spywares e supostos rootkits forem eliminados, experimentem rodar o SpyBoot S&D para se certificarem de que no hajam outros malwares contaminantes. seguir, faam uma varredura completa das portas abertas atravs do Project R3x, buscando encontrar portas no bloqueadas pelo firewall (antes, habilitem o firewall). Em seguida, utilizem o NMAP s para se certificarem das portas em aberto. Por fim, utilizem Sophos Anti-Rootkits para realizar a busca de rootkits & backdoors que porventura se encontrem no sistema.

2.

3.

ROOTKITS

FAMOSOS

4.

Dentre os rootkits famosos, encontram-se: NT Rootkit; Racker Defender; Haxdoor; FU.

5.

O NT Rootkit foi criado por Greg Hoglund, que torna qualquer software malicioso invisvel do sistema, fazendo o seu processo em execuo no constar na listagem do Gerenciador de Processos do Windows. J os demais, seguem a mesma linha de funcionamento do NT Rootkit, mas o Rack Defender (e o FU) tem a finalidade de impedir o uso de qualquer recurso (software e/ou tcnica) por parte dos administradores para detect-lo no sistema, tornando-se indetectvel. Por fim, o Haxdoor permite aos invasores acessarem o PC infectado, agindo como um legtimo backdoor.

6.

7.

FERRAMENTAS

DE COMBATE

Se preferirem, podem utilizar outras aplicaes substitutas gosto.

Das ferramentas de combate importantes, temos os scanners de portas e os anti-rootkits, os quais so usados para detectar as portas abertas (backdoors) e removem os rootkits, respectivamente. Na prtica, a maioria dos anti-vrus e antispywares do mercado j utilizam tcnicas apropriadas para realizar o rastreamento de