{"id":645,"date":"2013-03-28T14:00:34","date_gmt":"2013-03-28T14:00:34","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=645"},"modified":"2020-02-26T17:11:20","modified_gmt":"2020-02-26T15:11:20","slug":"che-cosa-sono-i-rootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/che-cosa-sono-i-rootkit\/645\/","title":{"rendered":"Che cosa sono i rootkit?"},"content":{"rendered":"

I rootkit<\/a> esistono da circa 20 anni e permettono agli hacker di accedere e rubare dati dal computer di un utente rimanendo nascosti nel computer per molto tempo. Il termine descrive una serie di programmi malware disegnati per eludere i sistemi di rilevamento e dare all\u2019hacker accesso remoto al PC della vittima. Per aiutarvi a capire che cos\u2019\u00e8 un rootkit<\/a>, come opera e cosa fare in caso di infezione, noi di Kaspersky Lab<\/a> abbiamo preparato una piccola guida.<\/p>\n

Definizione di rootkit<\/b><\/p>\n

Rootkit \u00e8 un tipo di malware disegnato per attaccare computer e eludere i sistemi di sicurezza. Il rootkit permettere all\u2019hacker di installare una serie di strumenti che gli danno accesso al computer da remoto. In genere il malware si nasconde in un punto profondo del sistema operativo ed \u00e8 studiato in modo tale da non essere rilevato dalle applicazioni anti-malware e dai principali strumenti di controllo e sicurezza. I rootkit possono contenere vari moduli nocivi come keylogger, moduli per rubare password, informazioni bancarie e dati di carte di credito, bot per attacchi DDos e diverse funzionalit\u00e0 in grado di disabilitare i software di sicurezza. I rootkit si comportano come i programmi di backdoor dando la possibilit\u00e0 all\u2019hacker di connettersi in modalit\u00e0 remota al computer infetto, installare e disinstallare specifici componenti. Alcuni esempi di rootkit per Windows sono: TDSS<\/a>, ZeroAccess<\/a>, Alureon<\/a> e Necurs<\/a>.<\/p>\n

Categorie di rootkit<\/b><\/p>\n

I due tipi di rootkit pi\u00f9 conosciuti sono i rootkit user-mode<\/i> e i kernel-mode<\/i>. I primi sono disegnati per funzionare nella parte del sistema operativo dove si trovano le applicazioni. Espletano la loro funzione nociva intercettando e modificando i processi relativi alle applicazioni e sovrascrivendo la memoria che questa usa. \u00a0Questo \u00e8 il caso pi\u00f9 comune. I rootkit di tipo kernel agiscono a livello basso del sistema operativo del PC e danno all\u2019hacker una serie di potenti privilegi sul computer. Dopo l\u2019installazione, un rootkit di tipo kernel pu\u00f2 prendere il controllo di una qualsiasi funzione del sistema direttamente al livello pi\u00f9 privilegiato. Questa categoria di rootkit \u00e8 molto pi\u00f9 pericolosa e complessa che quella di tipo user-mode; sono rootkit difficili da individuare e rimuovere, tuttavia sono meno comuni.<\/p>\n

Oltre a questi due tipi, ci sono altre varianti di rootkit, come i bootkit<\/a>, che \u00a0sono disegnati per modificare i processi durante la fase di avvio, a livello primario, prima che il sistema operativo si avvi. Negli ultimi anni \u00e8 emersa una nuova classe di rootkit, i \u00a0mobile rootkit<\/a>, rootkit per dispositivi mobili pensati per dispositivi Android. Questi malware sono spesso associati a\u00a0 applicazioni nocive scaricate da uno store o forum terzista.<\/p>\n

Infezione<\/b><\/p>\n

Si pu\u00f2 contrarre un rootkit in vari modi per\u00f2 il vettore di infezione pi\u00f9 comune \u00e8 attraverso una vulnerabilit\u00e0 nel sistema operativo o attraverso una applicazione aperta sul computer. Gli hacker attaccano le vulnerabillit\u00e0 conosciute e sconosciute del sistema operativo e delle applicazioni, e usano codici exploit per ottenere una posizione privilegiata sul computer della vittima. In seguito installano il rootkit e i componenti che permettono loro accesso remoto al computer. Il codice exploit per una specifica vulnerabillit\u00e0 pu\u00f2 essere ospitato su di un sito web autentico, ma che \u00e8 stato compromesso. Un altro vettore di infezione \u00e8 attraverso dispositivo USB. \u00a0Gli hacker possono piazzare dispositivi USB con rootkit in luoghi in cui possono essere facilmente trovati dalla vittima, come uffici, caffetterie e congressi. In certi casi, si pu\u00f2 contrarre un rootkit attraverso una vulnerabilit\u00e0 del sistema di sicurezza, mentre in altri il malware pu\u00f2 installarsi spacciandosi per una applicazione o file apparentemente affidabile contenuto in una USB.<\/p>\n

Rimozione<\/b><\/p>\n

Individuare la presenza di un rootkit su di un computer non \u00e8 sempre facile perch\u00e9 questi malware sono studiati per eludere i sistemi di sicurezza e di controllo e operare in sordina. Tuttavia ci sono diverse utility che ci aiutano a individuare i rootkit conosciuti e conosciuti. Queste utility operano attraverso vari metodi, per esempio, usando signature o studiando lo schema comportamentale comune dei rootkit. Rimuovere un rootkit rimane tuttavia un compito abbastanza difficile e richiede l\u2019uso di strumenti specifici, come TDSSKiller di Kaspersky Lab<\/a> in grado di individuare e rimuovere rootkit TDSS. Nonostante ci\u00f2, in alcuni casi, quando il danno \u00e8 molto grande, non ci resta che reinstallare il sistema operativo.<\/p>\n","protected":false},"excerpt":{"rendered":"

I rootkit esistono da circa 20 anni e permettono agli hacker di accedere e rubare dati dal computer di un utente rimanendo nascosti nel computer per molto tempo. Il termine<\/p>\n","protected":false},"author":32,"featured_media":662,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[22,411,412,83],"class_list":{"0":"post-645","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-malware-2","9":"tag-rootkit","10":"tag-tipi-di-rootkit","11":"tag-virus"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/che-cosa-sono-i-rootkit\/645\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/malware-2\/","name":"malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/645","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=645"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/645\/revisions"}],"predecessor-version":[{"id":20090,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/645\/revisions\/20090"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/662"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=645"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=645"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=645"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}