Sebbene esistano da una decina d'anni, solo da un paio sono diventati una minaccia diffusa e veramente concreta, tale da preoccupare gli esperti del settore come quanto hanno fatto in passato i trojan. Stiamo parlando dei rootkit. I rootkit sono dei software che si infiltrano silenziosamente nel sistema, e hanno la capacità di occultare altri programmi malevoli come trojan, spyware, o keylogger che una volta dentro il sistema possono agire indisturbati e creare danni anche irreparabili.
Esistono per fortuna programmi specifici con i quali ci possiamo difendere da queste pericolose minacce: gli antirootkit. In questo articolo vi mostreremo alcuni tra i prodotti più conosciuti con i quali potrete difendere il vostro Pc.
Una premessa: si tratta di programmi da utilizzare con giudizio poiché agiscono su zone molto delicate del sistema operativo. Inoltre alcuni programmi o parti di sistema possono includere istruzioni legittime ma strutturate in modo tale da apparire nocive ad un antirootkit. In questo caso il suo uso potrebbe rendere inutilizzabile il programma oppure bloccare il sistema operativo.
Avira anti-rootkit
Tutti conosciamo Avira come un ottimo antivirus freeware, ma la casa tedesca offre un prodotto valido anche nel campo oggetto del nostro articolo che è in grado di riconoscere un gran numero di rootkit. Dopo la veloce installazione potrete già effettuare una scansione, e, se verranno individuate eventuali minacce, le potrete mettere in quarantena e successivamente eliminare anche se per procedere in tale operazione dovrete riavviare il vostro Pc. È un buon software, leggero e la scansione è veloce ed efficiente, inoltre è un programma freeware ma disponibile solo in lingua inglese. È compatibile con Windows 2000 Server o Workstation, Windows XP Home o Professional e per tutte le versioni di Windows Server 2003. Si scarica da www.freeav.com.
McAfee Rootkit Detective (beta)
Un altro tra laboratori di prodotti per la sicurezza informatica, MacAfee, ha sempre fornito un antivirus di ottimo livello a col suo antirootkit specifico non si smentisce. McAfee Rootkit Detective si rivela un prodotto molto competitivo, che utilizza tutte le tecnologie più recenti per l'individuazione e l'eliminazione dei rootkit. È un eseguibile, quindi una volta fatto partire lo si può utilizzare senza installarlo. La scansione è veloce e precisa, una volta trovati i possibili file infetti è possibile rinominarli e successivamente, dopo il riavvio, eliminarli manualmente. Nel complesso un ottimo prodotto, affidabile per la capacità di rilevamento e, come già detto, veloce nella scansione. È disponibile solo in inglese ed è compatibile con tutti i sistemi operativi Windows ad esclusione di Windows Vista.
Seem
Seem (System Eyes & Ears Monitoring) è un antirootkit che ci ha stupito. Anche Seem non va installato, e, una volta partito, non vi dà una scansione da fare. Ad un primo impatto vi confonderà le idee: in realtà Seem non scansiona il sistema, ma mostra tutti i processi attivi sulla macchina, e in caso di processo corrotto da software Rootkit, lo evidenzia in rosso dandovi la possibilità di terminarlo e cancellarlo manualmente. A nostro parere un software molto efficace, il punto di forza è proprio questa tecnologia di rilevamento, ovvero monitorare tutti i processi e segnalarne eventualmente di pericolosi. È freeware, è compatibile solo con Windows XP ed è disponibile in lingua inglese francese e spagnolo.
Sophos Anti-rootkit
Quello di Sophos è stato uno dei primi antirootkit a proporsi sul mercato. Fino ad alcuni mesi fa riusciva ad individuare solo alcuni tipi di pericolo, come ad esempio AFX Rootkit, Dice Rootkit, Generic compressed rootkit driver e altri. Le nuove versioni sembrano invece attrezzate per riconoscere molti altri tipi di software nocivi. Si tratta di un software freeware, compatibile con ogni versione di Windows escluso Vista. È disponibile solo in lingua inglese e per usarlo dovrete registrarvi gratuitamente al sito e aspettare la e-mail di notifica.
Trend Micro RootkitBuster
Trend Micro, casa produttrice di PC Cillin antivirus e CW Shredder, offre da sempre prodotti per la sicurezza informatica molto validi. Per combattere la minaccia rootkit si sono attrezzati con un software specifico di ottimo livello. Con Trend Micro RootkitBuster, potrete combattere in maniera efficace questi software nocivi, il programma non necessita di installazione, è subito pronto per la scansione, e in caso di rilevamenti li potrete eliminare al riavvio. Come già detto è un software validissimo, tra i migliori in circolazione, essendo un eseguibile non occupa spazio sul sistema e durante la scansione l'uso delle risorse è davvero minimo, quasi impercettibile. È freeware, disponibile solo in in inglese e compatibile con le versioni di Windows 2000, Windows 2003, Windows XP e Windows Vista fino al service pack 1. Non supporta sistemi a 64 bit.
RootkitRevealer
Ci è sembrato giusto inserire questo "vecchietto" della lotta ai rootkit proprio perché è uno dei primi forse il primissimo software specifico contro questa minaccia. Dai test che abbiamo fatto ci è sembrato lento, e nonostante avessimo provato più volte la scansione, la stessa finiva per bloccarsi. Un tempo il software era distribuito da Sysinternals, attualmente posseduta da Microsoft.Il programma è freeware, in lingua inglese, è adatto per ogni versione di Windows e lo potrete trovare sul sito Microsoft.
Gmer
I rootkit sono processi che agiscono furtivamente e Gmer è un programma che riesce ad individuare questi processi che agiscono a nostra insaputa. Gmer individua ma non risolve i problemi che trova, questo perché non tutti i processi rilevati sono necessariamente un problema. La cosa che potete fare è di cercare sul vostro motore di ricerca di fiducia le voci trovate una alla volta e vedere se risulta veramente un problema, oppure se è un processo del Pc. Gmer fa sicuramente un ottimo lavoro, tuttavia lo troviamo un software accessibile ad utenti armati di esperienza nel settore e soprattutto di molta pazienza. È un software freeware, disponibile solo in inglese, compatibile con ogni versione di Windows e lo trovate all'indirizzo www.gmer.net.
RootKit Hook Analyzer
Si tratta di un altro programma specifico, anch'esso freeware, in inglese, compatibile con ogni versione di Windows escluso Vista. Basterà inserire la mail all'indirizzo http://www.resplendence.com/downloads e procedere al download. Ci è sembrato francamente molto poco chiaro: basti dire che mostrava in rosso processi relativi a programmi regolari presenti sul Pc.
Conclusioni
Tra tutti questi software, quelli che ci sentiamo di consigliare in assoluto sono le soluzioni anti-rootkit di Trend Micro e MacAfee, senza trascurare Seem che ci ha impressionato positivamente, anche se usa una tipologia di rilevamento differente dai due sopraccitati. Di minor livello Avira anche se comunque si rivela un buona alternativa. Gmer è sicuramente ottimo ma è consigliabile solo ad utenti esperti, mentre Sophos, nonostante i miglioramenti non può essere messo al livello dei migliori.
È bene tener presente che alcune tra le maggiori case, come Panda, Bit Defender, e Grisoft (casa produttrice di AVG) non distribuiscano più un software specifico per i rootkit ma che lo abbiano inserito nei loro software antivirus a pagamento, così come vi siano software antivirus freeware in grado di monitorare in tempo reale e cancellare i rootkit . Inoltre molti software antispyware, anche gratuiti, posseggono moduli per la ricerca e l' eliminazione dei rootkit.