Com nomes como "Hacker Defender", "FU" e  "Vanquish", os programas de "rootkits" circulam há anos, mas estão cada vez mais sofisticados, de acordo com Mike Danseglio e Kurt Dillard, ambos doSecurity Solutions Group, da Microsoft.

Eles são usados por hackers para controlar, atacar e roubar informações quando instalado em computador, tipicamente sem que o dono da máquina tenha conhecimento.

Uma vez instalados, muitos do rootkits rodam silecionamente, mas podem ser facilmente localizados. No entanto, os "kernel rootkits", que modifica o kernel (núcleo), estão se transformando cada vez mais comum.

De acordo com Danseglio, os autores de rootkits estão mais habilidosos na arte de esconder suas criações. Alguns deles são capazes de interceptar as consultas ou "chamadas dos sistemas" para o kernel e filtrar as consultas geradas para o software rootkit.

O resultado é que os típicos sinais de que o programa está rodando um arquivo executável malicioso é invisível para o administrator e para as ferramentas de detecção.

O aumento dos rootkits sofisticados e a velocidade com que tais técnicas estão migrando dos rootkits para os spywares e vírus pode ser resultado da influência de grupos organizados de crimes virtuais, acredita Dillard.

As melhores ferramentas para detectar os rootkits são feitas pelos próprios autores das ameaças, não pelas empresas de segurança, disseram os pesquisadores da Microsoft.

Há poucas estratégias para detectar os kernel rootkits em um sistema infectado, especialmente por que eles se comportam e usam estratégias diferenciadas para se esconderem.

Os pesquisadores da Microsoft desenvolveram uma ferramenta, chamada de "Strider Ghostbuster". (Veja: http://research.microsoft.com/research/pubs/view.aspx?type=Technical%20Report&id=775)

No entanto, os pesquisadores da Microsoft avisam que a forma mais confiável para remover os rootkits é apagar completamente o disco rígido infectado e reinstalar o sistema operacional.
 

IDGNOW