I rootkit sono una seria minaccia, una particolare forma di malware che risulta spesso difficile da rilevare all’interno di un sistema informatico e ancora di più da eliminare. Una volta entrati nel sistema, forniscono un grandissimo potere agli hacker che li gestiscono, come il permesso di accedervi a piacimento, senza che l’utente se ne accorga o possa fare nulla per evitarlo.
Nonostante la loro perniciosità, esistono delle metodologie che ne consentono la rimozione in maniera sicura. Ovviamente, è necessario sapere su cosa agire e in che modo farlo. Ecco dunque come evitare l’invasione da parte dei rootkit e come procedere per eliminarli del tutto dal proprio computer.
Rootkit, un po’ di storia
I primi rootkit compaiono per la prima volta all’inizio degli anni ‘90, con la comparsa del primo esemplare per il sistema operativo SunOS Unix. Ed è proprio da lì che prende il nome, visto che “root” fa riferimento proprio all’amministratore di sistema, mentre “kit” indica l’insieme di strumenti necessari per compiere l’operazione sul sistema.
È invece successivo il primo rootkit per Windows, chiamato NTRootkit. L’intento del suo creatore, in questo caso, fu però ben diverso. Realizzato da Greg Hoglund, un ricercatore specializzato in sicurezza informatica, ebbe l’intento di promuovere l’interesse nei confronti del settore, ancora in fase di sviluppo ai tempi.
Non mancano poi i rootkit che colpiscono i dispositivi dedicati all’IoT, ovvero l’Internet of Things. Ormai sono sempre di più i device smart connessi ad Internet, tanto che iniziano ad essere di notevole interesse per i cybercriminali. Complice, di tutto ciò, un sistema di sicurezza dedicato ancora agli albori, non in grado di assicurare un grado di protezione efficace.
Rootkit, come si installano sui computer
A differenza di altri tipi di malware, come i "worm", i rootkit non sono in grado di replicarsi autonomamente. Per questo motivo vengono diffusi tramite attacchi mirati, come campagne di phishing, utilizzando memorie USB o tramite il download di file da siti non affidabili.
Le campagne di phishing sono tra i vettori più comuni: attraverso messaggi che sembrano provenire da mittenti attendibili, invitano a scaricare file o ad aprire link dove, ad attendere il destinatario della comunicazione, vi sono dei dropper. Una volta installati, questi particolari programmi provvedono a scaricare il malware vero e proprio, infettando il computer del malcapitato. La diffusione via memoria USB, invece, avviene a volte in maniera più subdola.
Questi supporti possono essere lasciati in vista in modo da poter invogliare la vittima a raccoglierli, magari attaccati a chiavi o ad altri supporti, e a utilizzarli nel proprio computer per individuare la persona che potrebbe averlo perso. Al click sui file, mascherati con altre estensioni, può partire l’infezione con il dropper.
L’ultimo, invece, è la tecnica via trojan. Ovvero, si tratta di rootkit nascosti dentro pacchetti di installazione di altri programmi che vengono scaricati sul computer e provvedono a infettarlo quando l’utente avvia il file per la prima volta. Solitamente, si tratta di software pirata, scaricato dalla rete o dai siti torrent.
Rootkit, cosa succede quando vengono installati
La caratteristica tipica dei rootkit è quella di andare a fondo nell’architettura del sistema: si annidano nell'hardware e non nel software. Infatti, solitamente i dropper si nascondono nel BIOS o nell’UEFI. Ciò implica che, anche nel caso di pulizia del disco rigido, il malware continua ad avere la possibilità di scaricarsi in automatico, infettando nuovamente il computer in un ciclo continuo.
A peggiorare la situazione, poi, vi è la capacità di questo codice di bloccare o addirittura rimuovere i software di sicurezza installati sulla macchina (perché vengono eseguiti molto prima dell'avvio del sistema operativo e degli antivirus), oltre a sfruttare tecniche per impedire i tentativi di rimozione, anche qualora vengano individuati dagli antivirus. Il tutto è dovuto al fatto che, a tutti gli effetti, i rootkit sono dotati di privilegi da amministratore e, quindi, possono potenzialmente compiere qualsiasi operazione.
Tra le operazioni che può effettuare un rootkit vi sono l’installazione di una backdoor o di altro software malevolo, come un ransomware. A ciò si aggiunge la lettura, copia e cancellazione di file, modifiche alle configurazioni di sistema, accesso ai file di log e monitoraggio delle sequenze di tasti, per il furto delle password.
Come eliminare rootkit dal computer
Il modo più semplice per proteggersi dai rootkit è, come spesso accade parlando di sicurezza informativa, una corretta prevenzione. È importante evitare sempre le email di phishing, scaricare file o visitare siti che non sono sicuri o affidabili, proprio come quelli che consentono di scaricare software crackato (che, oltre a essere rischioso, è anche punibile per legge).
Se però l'infezione è avvenuta, la prima cosa da fare è una verifica con un antivirus in grado di controllare le impronte digitali di alcuni file di importanza critica per il sistema. Nel caso in cui vi siano delle differenze tra i file attuali e le firme digitali, i software provvedono a segnalare le anomalie individuando dove risiede l’infezione. Ma è solo il primo passo.
Per procedere poi alla rimozione vera e propria, invece, è necessario eseguire l’avvio da un CD o DVD che contiene l’intero sistema operativo. Infatti, l’avvio in modalità provvisoria non è in grado di aggirare il malware presente all’interno del disco rigido. Ad esempio, su un computer con sistema operativo Windows PC può essere utilizzato un disco di avvio con Linux.
Una volta effettuato tale avvio, è possibile procedere con i programmi specifici per la tipologia di malware individuata; l’operazione prevede l’individuazione del dropper per poter procedere all'eradicazione dal BIOS/UEFI o dal firmware del dispositivo in cui si è nascosto. Seguendo tutti i passaggi, verrà effettuata la rimozione completa e si può tornare a utilizzare normalmente il computer, facendo attenzione a non correre di nuovo lo stesso rischio, non prima di una formattazione completa del disco rigido.