Nel tuo computer si nasconde un malware che consente l’accesso agli hacker? Potrebbe trattarsi di un frammento di software difficilmente rilevabile, chiamato rootkit. Continua a leggere per scoprire i diversi membri di questa sgradevole famiglia di app, come rilevarli e rimuoverli e come restare più al sicuro online con Avira Internet Security. Include un anti-malware affidabile per aiutarti a proteggerti dai rootkit e molto altro. Contribuisce inoltre a correggere le vulnerabilità del software e può bloccare i tracker Web.
Cosa sono i rootkit e perché piacciono tanto agli hacker?
Ti presentiamo gli agenti speciali del mondo del malware: i rootkit. Si tratta di un gruppo clandestino di programmi informatici progettati per entrare furtivamente e nascondersi all’interno del tuo computer. Qui “vivono” in modo sicuro, passando inosservati agli utenti e ai processi di sistema, mentre garantiscono agli hacker un accesso privilegiato al dispositivo preso di mira. Il nome è una combinazione di due parole che riassumono le intenzioni di questo malware. Nei sistemi operativi Unix e Linux l’amministratore dell’account con i privilegi più elevati è chiamato “root”, mentre “kit” si riferisce ai componenti software che consentono l’accesso non autorizzato a livello di amministratore. In altre parole, i rootkit sono strumenti che forniscono un accesso privilegiato al cuore o alla “radice” (“root” in inglese) di un sistema.
Una volta che i rootkit si sono radicati in un sistema, aprono una backdoor virtuale ai criminali informatici, che possono quindi accedere da remoto per mettere in atto qualsiasi tipo di azione dannosa. Di solito l’ordine del giorno dell’hacker prevede: rubare dati personali e informazioni finanziarie, distruggere file di sistema, installare altri tipi di malware o reclutare il computer come parte di una botnet per far circolare spam. I rootkit possono anche innescare attacchi di tipo “Denial of Service” (DoS), nel corso dei quali il computer preso di mira viene inondato di richieste fino a quando non riesce più a svolgere le sue normali funzioni. Ancora più estesi, più audaci (e più distruttivi) sono gli attacchi “Distributed Denial of Service” (DDoS), in cui più sistemi prendono di mira una singola preda. Sono come DoS sotto steroidi.
E faresti bene anche a parlare a bassa voce… I criminali informatici possono usare i rootkit anche per hackerare la webcam e il microfono del tuo dispositivo e intercettare le tue conversazioni. Potrebbero invadere la tua privacy anche in altri modi, ad esempio leggendo le tue e-mail, intercettando il traffico di rete e registrando le pressioni dei tasti. Alcuni rootkit possono interferire con i sistemi di sicurezza dei computer o addirittura disattivarli del tutto, rendendo più difficile rilevare comportamenti insoliti e modifiche non autorizzate.
Un rootkit è un virus?
Pensiamo per un attimo più in grande. Il termine software dannoso o “malware” è un’espressione generica per indicare un software progettato per interrompere, danneggiare o ottenere un accesso non autorizzato a un sistema informatico. Può assumere molte forme, da virus informatici e spyware fino ad adware e ransomware. I rootkit sono sicuramente malware, ma sono anche virus?
I virus sono un tipo specifico di malware che si autoreplica inserendo il proprio codice in altri programmi. I rootkit sono autoreplicanti, quindi presentano alcuni tratti dei virus, ma hanno bisogno di aiuto per entrare in un sistema e non possono diffondersi da soli. Benché la maggior parte dei rootkit abbia ripercussioni sul software e sul sistema operativo, possono avere piani ambiziosi e infettare anche l’hardware e il firmware del computer (il software integrato nell’hardware per aiutare a controllarne le funzionalità). I rootkit possono essere presenti su qualsiasi tipo di dispositivo informatico, dagli smartphone ai server, quindi non pensare che il tuo computer ne sia immune. Inoltre, essendo così ben nascosti, possono essere incredibilmente difficili da individuare e rimuovere. Ma di questo parleremo più tardi…
Ti presentiamo i membri della famiglia rootkit
Non tutti i rootkit vengono creati nello stesso modo e sono classificati in base alla modalità di infezione, al funzionamento e alla durata. Ecco un breve riepilogo dei soliti sospetti.
I bootkit o rootkit del bootloader sostituiscono il bootloader legittimo del computer (ovvero il meccanismo che carica il sistema operativo all’accensione del computer) con uno hackerato. Ciò significa che il rootkit viene attivato anche prima che il sistema operativo del computer sia completamente caricato!
I rootkit hardware o firmware sono installati nel disco rigido, sul router o nel BIOS del sistema (il software installato su un chip di memoria nella scheda madre). Invece di manipolare il sistema operativo come fa la maggior parte dei malware, questi rootkit prendono di mira il firmware del dispositivo per installare malware difficile da rilevare con un software antivirus. I rootkit hardware/firmware rappresentano una grave minaccia alla sicurezza e alla privacy online, consentendo agli hacker di registrare le pressioni dei tasti e monitorare la tua attività online.
I rootkit di applicazione sostituiscono file legittimi nel computer con file rootkit per cambiare il funzionamento delle applicazioni. Questi rootkit possono infettare i programmi utilizzati quotidianamente, come Microsoft Office, Paint o Excel. Ogni volta che questi programmi vengono eseguiti, gli aggressori possono ottenere l’accesso al computer. Questo malware è difficile da rilevare perché i programmi infetti continuano a funzionare normalmente. Tuttavia, un software antivirus affidabile come Avira Free Antivirus (disponibile come prodotto autonomo o integrato in Avira Internet Security) di solito è in grado di identificarlo.
I rootkit di memoria si nascondono nella memoria ad accesso casuale (RAM) del computer, dove vengono eseguiti in background, mettendo in atto attacchi dannosi e rallentando in genere le prestazioni del computer. Non iniettando codice permanente, di solito questi rootkit scompaiono non appena riavvii il sistema.
I rootkit in modalità kernel sono tra i tipi più gravi di questa minaccia, in quanto prendono di mira il nucleo stesso del sistema informatico (cioè il livello del kernel). Gli hacker li utilizzano per attaccare la funzionalità del sistema operativo aggiungendovi codice scritto da loro. Attenzione: possono accedere anche ai file presenti sul tuo computer!
I rootkit virtuali si caricano da soli sotto il sistema operativo originale del computer e quindi ospitano i sistemi operativi vittime dell’attacco su una macchina virtuale. È proprio perché funzionano separatamente dal sistema operativo del computer che sono così difficili da rilevare. Le macchine virtuali vengono utilizzate anche in procedure informatiche legittime per eseguire più sistemi operativi su una macchina o per testare programmi in un ambiente isolato.
Come vengono installati i rootkit in un dispositivo?
Comprendere in che modo i rootkit accedono al tuo computer può aiutarti a prevenire le infezioni perché, proprio come i malware trojan, hanno bisogno di aiuto per essere installati. I rootkit garantiscono accesso e controllo rimanendo nascosti, mentre i trojan fungono da meccanismo di distribuzione del payload. Per questo è importante non aiutarli inconsapevolmente nel loro compito!
I rootkit costituiscono una minaccia combinata contenendo in genere tre componenti distinti: oltre al malware, gli hacker ricorrono infatti alla temibile accoppiata di dropper e loader. Il dropper importa il rootkit nel computer della vittima, quindi attiva il loader che installa il rootkit nel sistema informatico. Perché vada a buon fine, il criminale informatico deve riuscire a mettere a segno tutte e tre le parti del suo insidioso piano e può farlo in diversi modi.
Sfruttando il “passaggio” di un software considerato attendibile: un rootkit può agganciarsi ad app e programmi legittimi ed essere quindi scaricato dal portale di download insieme al software che l’utente intendeva ottenere. (Promemoria: scarica programmi solo da fonti attendibili).
Attraverso tecniche di ingegneria sociale: i truffatori contattano le vittime tramite e-mail dall’aspetto legittimo, cercando di indurle a cliccare su un link o a scaricare un file. Attraverso questo phishing e altri tipi di ingegneria sociale, le vittime possono scaricare rootkit e altro malware. Virus e trojan sono tra i vettori più comuni dei rootkit ed entrambi sono molto abili nell’intrufolarsi all’interno dei computer.
Sfruttando le vulnerabilità: se il sistema operativo di un computer o qualsiasi altro software presenta debolezze non corrette e non è stato installato l’ultimo aggiornamento, un hacker può introdurre la propria “merce” attraverso la vulnerabilità. (Promemoria: mantieni sempre aggiornati tutti i programmi aggiornati).
Dirottamento dei programmi di messaggistica: fai attenzione, perché una minaccia combinata può dirottare i client di messaggistica istantanea e diffondersi ai contatti della vittima. Questi messaggi contengono link infetti e il rootkit viene rilasciato se il destinatario clicca sul link.
Nascondendosi in file con contenuti complessi: gli hacker possono incorporare rootkit in file con contenuti complessi, come i PDF. Non appena si apre il file, il dropper verrà eseguito automaticamente.
Tramite download drive-by: stai navigando felicemente su Internet quando ti ritrovi su un sito Web dannoso o un sito legittimo in cui è stato inserito codice dannoso. Anche se non interagisci minimamente con il sito, il semplice fatto di essere lì può causare l’installazione di malware nel tuo dispositivo.
Sei stato infettato da un rootkit? Fai attenzione a questi sintomi comuni
Dal momento che i rootkit sono progettati per rimanere nascosti, rilevarli può essere complicato e più a lungo restano annidati all’interno del sistema, maggiore è il danno che possono causare. Alcuni sono addirittura in grado di disattivare il software di sicurezza, fornendo così una “copertura” aggiuntiva alle loro azioni e aggravando i tuoi problemi. Ecco i segnali più comuni che indicano la presenza di un rootkit nel tuo dispositivo:
- Schermata blu/nera di errore
Compaiono frequenti messaggi di errore di Windows o schermate nere o blu con testo bianco? Il computer deve costantemente riavviarsi?
- Prestazioni del sistema rallentate
Il tuo dispositivo si blocca improvvisamente o si arresta più spesso del solito? Funziona più lentamente e l’utilizzo della CPU (unità di elaborazione centrale) è più elevato? Potresti anche notare un traffico di rete insolito dietro le tue normali operazioni.
- Modifiche alle autorizzazioni e alle impostazioni di sistema
Il software antivirus è stato disattivato o ha smesso di funzionare ma tu non hai fatto niente? Forse hai notato altre modifiche alle impostazioni di sistema, come uno screensaver differente, la barra delle applicazioni che viene nascosta, elementi bloccati spostati o la visualizzazione di data e ora non corrette.
- Le pagine Web funzionano lentamente e in modo imprevedibile
La navigazione online è diventata fastidiosamente lenta? La causa potrebbe essere l’eccessivo traffico di rete dietro le quinte. Fai attenzione anche ai reindirizzamenti improvvisi del browser e ai segnalibri che non riconosci.
Se hai risposto affermativamente a molte di queste domande, è possibile che il tuo computer sia stato effettivamente infettato da un rootkit o da un altro malware. Passa alla sezione successiva per prendere provvedimenti e iniziare a rimediare a eventuali danni al tuo sistema informatico.
È tempo di agire: come contribuire al rilevamento, alla rimozione e alla prevenzione di un rootkit
Segui il nostro piano d’azione in cinque passaggi per eliminare tutti i rootkit e ripartire da zero, sperando di non dover passare al punto 6!
PASSAGGIO 1: riavvia il computer e passa alla modalità provvisoria. Così facendo, impedirai al rootkit di caricarsi all’avvio del dispositivo, rendendone più semplice la rimozione. Il modo in cui accedere alla modalità provvisoria dipende dal sistema operativo in uso. Per Windows 11, clicca sul menu Start di Windows > Arresta > Riavvia (tenendo premuto il tasto Maiusc).
PASSAGGIO 2: esegui una scansione approfondita del sistema con un software di sicurezza online specializzato e affidabile. Assicurati che tutti i tuoi strumenti di sicurezza online siano aggiornati per aumentare al massimo le possibilità di intercettare le minacce più recenti! Vale anche la pena ricordare che i rootkit possono eludere la protezione di base che potrebbe essere fornita dal tuo computer, quindi ti consigliamo una sicurezza multilivello da parte di specialisti della sicurezza online. Se utilizzi Avira Antivirus Pro, incluso in Avira Internet Security, è possibile eseguire una scansione Smart rapida o una scansione antivirus completa. La scansione approfondita è consigliata per eliminare i rootkit più difficili: analizza anche il sistema Windows, i processi attivi, le unità locali e i dischi rimovibili.
PASSAGGIO 3: rimuovi correttamente le minacce identificate. Segui sempre le istruzioni fornite per rimuovere o mettere in quarantena qualsiasi processo o file correlato al rootkit e controlla di eliminare quelli giusti! L’eliminazione di file di sistema casuali può compromettere il corretto funzionamento del computer. Avira Antivirus Pro sposta i file dannosi sospetti in uno spazio sicuro e isolato sul tuo computer. Segui queste istruzioni su come ripristinare o eliminare i file in quarantena con Avira.
PASSAGGIO 4: in caso di danni, ripara i file di sistema. Non si tratta solo di far fuori i cattivi. Dobbiamo anche tenere al sicuro i buoni. I rootkit possono modificare le configurazioni e i file di sistema, pertanto è necessario ripararli o correggerli.
PASSAGGIO 5: monitora il comportamento del sistema ed esegui la manutenzione. Fai attenzione a eventuali segnali di un’infezione, come problemi di prestazioni e navigazione sul Web, ed esegui scansioni regolari con il tuo software di sicurezza online affidabile e aggiornato.
PASSAGGIO 6: ultima possibilità! Cancella il dispositivo e reinstalla il sistema operativo. Se tutti i passaggi precedenti non hanno funzionato e il rootkit è saldamente radicato a diversi livelli, prova a eseguire il backup dei dati, a cancellare il contenuto del computer e a eseguire una nuova installazione pulita. Per prima cosa, consulta questa guida per formattare il disco rigido.
Un’accoppiata vincente: sane abitudini online e tecnologia affidabile
Prevenire è davvero meglio (e più facile) che curare soprattutto quando si tratta di proteggersi da truffe online, rootkit e altro malware. Ecco un rapido promemoria prima di fare ritorno nella giungla digitale:
- Utilizza un antivirus affidabile fornito da specialisti della sicurezza online.
- Mantieni aggiornati tutti i sistemi, incluso il sistema operativo e tutte le applicazioni, in modo che abbiano più probabilità di essere protetti da patch sicure e privi di punti deboli noti ai criminali informatici. Non dimenticare di aggiornare anche il browser Internet, dal momento che le versioni più recenti dispongono di una protezione integrata contro i siti Web falsi.
- Riconosci le e-mail di phishing. Controlla attentamente il mittente passando il mouse sopra l’indirizzo, non inviare mai informazioni riservate via e-mail e non cliccare su link casuali. In caso di dubbi, rivolgiti direttamente all’istituzione/azienda che ti sta contattando per verificare che la comunicazione sia autentica.
- Apri solo allegati provenienti da fonti attendibili. Gli aggressori diffondono rootkit e altro malware nascondendo virus e trojan negli allegati.
- Interagisci solo con siti Web affidabili che conosci e di cui ti fidi e non fare mai acquisti su un sito privo del simbolo del lucchetto HTTPS. Se un’offerta sembra troppo bella per essere vera, probabilmente ti stanno truffando: il sito Web potrebbe addirittura essere infetto da malware.
- Utilizza password univoche e complesse e ricorri a uno strumento per la gestione delle password per archiviarle e gestirle in modo più sicuro. Se possibile, configura l’autenticazione a più fattori.
Hall of Fame dei rootkit: quattro esempi famigerati
I rootkit possono costituire una minaccia seria e variegata. Ecco qualche esempio dei più famigerati, che dimostra la potenza e la portata di queste minacce digitali:
Già nel 2006, il rootkit Rustock ha creato una delle più grandi botnet per l’invio di spam. Le stime variano, ma suggeriscono che la botnet abbia reclutato tra i 150.000 e i 2,4 milioni di computer infetti e abbia inviato una media di 192 messaggi spam al minuto per ogni computer compromesso.
Nel 2010, il rootkit Stuxnet ha causato danni sostanziali al programma nucleare iraniano ed è opinione diffusa che sia un’arma informatica.
Nel 2011, il rootkit Alureon/TDL-4 ha rubato dati e compromesso i sistemi di sicurezza, infettando 1,5 milioni di computer negli Stati Uniti.
Nel 2012, ha fatto la sua comparsa Flame, uno strumento sofisticato per lo spionaggio informatico utilizzato principalmente in Medio Oriente. Influisce sull’intero sistema operativo di un computer, consentendo agli hacker di monitorare il traffico, registrare sequenze di tasti e acquisire screenshot.
La sicurezza online ha molti livelli: una protezione efficace va oltre l’antivirus
Non diventare vittima di rootkit e altro malware. Avira Internet Security combina più prodotti premium Avira in un’unica, potente soluzione per una protezione ottimizzata dell’identità e del PC. Ti presentiamo il tuo team di sicurezza personale: Avira Antivirus aiuta a bloccare anche le minacce online più recenti, mentre Software Updater identifica e installa gli ultimi aggiornamenti. Utilizza Password Manager per generare e archiviare in modo sicuro password complesse per tutti i tuoi account online. Ti avviserà anche se i tuoi dati sono stati esposti in una violazione della sicurezza. E sarai meno preoccupato di imbatterti in siti Web infetti grazie ad Avira Browser Safety, che aiuta a impedire il caricamento di siti Web infetti.
