Proteggersi dai Rootkit

I rootkit sono dei programmi che vengono installati in un sistema operativo e ne permettono il controllo senza che l’utente se ne accorga o che ne consenta l’utilizzo.
Sono scritti appositamente per non essere facilmente rilevabili, il rootkit cerca in tutti i modi di nascondersi modificando ad esempio l’output di programmi di ricerca file.

Per Windows esistono numerosi strumenti anche gratuiti per la rimozione dei rootkit.
Sophos Anti-Rootkit

Usando l’ultima versione dell’antivirus gratuito AVG si dispone già di un anti rootkit.

Per GNU/Linux è disponibile l’eccellente anti-rootkit chkrootkit.  Se si usa Debian o Ubuntu, questo programma è disponibile nei repository e facilmente installabile col comando:

# apt-get install chkrootkit

Per altri sistemi operativi del pinguino è possibile che sia presente nei supporti di installazione. Per OpenSUSE:

# yast –install chkrootkit

Per avviarlo:

# chkrootkit

Altro programma interessante è rkhunter che può essere installato usando il comando (limitatamente alle distribuzioni Debian e derivate):

# apt-get install rkhunter
Per OpenSUSE:

# yast –install rkhunter

Per adoperarlo in maniera generica si può digitare:

# rkhunter -c

Particolarmente interessanti sono i rootkit che si installano come hypervisor sfruttando le estensioni VT-x o AMD-V adoperate generalmente per la virtualizzazione. Per esempio il rootkit Blue Pill, per piattaforma Windows Vista fa uso delle AMD-V per avere il completo controllo sul sistema operativo Microsoft.