Universidade Zambeze

Faculdade de ciências e tecnologia

Informática I Curso:
Engenharia Civil 1°ano-
Laboral Grupo VI Tema:
Rootkit

Discentes:
Anifo Abdul Carimo
Carlos Alberto Cunha
Clayton Isidoro Canote Framenga
Emilia de Fátima
Julieta Amelia Luís
Nilza Guimaraes Bavaze

Docente:
Eng. Taheer Amad Mitha

Beira, Maio de 2022

1
Índice
1.Introdução..............................................................................................................................................3
2.Desenvolvimento....................................................................................................................................4
2.1.Principios básicos de segurança da informação…………………………………………….4
2.2.Malware………………………………………………………………………………………5
2.3.Rootkit.................................................................................................................................................8
2.4.Tipos de Rootkit................................................................................................................................10
2.5.Exemplos de Rootkit.........................................................................................................................11
2.6.Como detectar Rootkits....................................................................................................................12
2.7.Métodos de dectectar Rootkits.........................................................................................................13
2.8.Como remover um Rootkit..............................................................................................................14
2.9.Como prevenir os Rootkits...............................................................................................................15
3.Conclusão.............................................................................................................................................16
4.Referencia Bibliográfica......................................................................................................................17
1.Introdução
O seguinte trabalho visa dar a conhecer sobre os Rootkits, um tipo de Malware que da ao hacher
acesso a um dispositivo. Sendo que Malware são softwares maliciosos, eles podem danificar o
seu dispositivo e ate levar a sua informação.
É importante dar a conhecer sobre esse Malware para a nossa prevenção contra ele, para que
nossa informação não seja prejudicada. E permita-nos ter mais atenção ao nosso uso com os
nossos dispositivos. A objetivos que traçamos na realização do trabalho.
Objetivos Gerais:
 Definir Rootkit;
 Saber os Rootkit que existem;  Saber
como prevenir os Rootkits.
Objetivos Específicos:
 Dar exemplo de cada Rootkit que existe;
 Saber como identificar os Rootkits; 
Saber como remover os Rootkits.
Justificativa
O trabalho vem como meio nos dar a informação sobre os Rootkits, e saber como nos prevenir
desse Malware sobre os nossos dispositivos.

3
2.Desenvolvimento
2.1Princípios Básicos de Segurança da Informação
Existem quatro princípios básicos de segurança da informação: Disponibilidade, Integridade,
Confidencialidade e Autenticidade.
Princípio da Disponibilidade
De acordo com o Princípio da Disponibilidade, a informação estará disponível sempre que for
preciso. Esse aspecto é de suma importância, principalmente para sistemas que não podem ter
falhas na Disponibilidade, pois essas falhas comprometem o serviço.
Ex.: Se o site do Submarino, que é uma grande empresa de venda de comércio eletrônico, é
atacado e fica fora do ar por 24 horas, o prejuízo dessa empresa ,por causa da indisponibilidade
do sistema, será muito grande. Nesse caso, a Disponibilidade é um fator crítico para essa
empresa.
Ferramentas do Princípio da Disponibilidade
As ferramentas que garantem o princípio da Disponibilidade são o Nobreak, o Firewall e o
Backup.
• Nobreak: Dispositivo alimentado por baterias, capaz de fornecer energia elétrica a um sistema
durante um determinado período, em situações de emergência, no caso de interrupção do
fornecimento de energia da rede pública. Ou seja, o Nobreak impede que o sistema desligue e é
uma ferramenta de Disponibilidade.
• Firewall: O Firewall é uma barreira de proteção contra ataques que visam tirar os serviços de
funcionamento. Ele impede que ataques de intrusão e
de negação de serviço sejam efetuados no ambiente.
• Backup: Quando uma informação é corrompida, ela se torna indisponível. O backup recupera
essa informação, tornando-a disponível novamente.

Princípio da Integridade
De acordo com o Princípio da Integridade, a informação só pode ser alterada por pessoas
autorizadas, ou seja, a Integridade garante o controle das altera-ções, impedindo que pessoas não
autorizadas façam alterações indevidas na informação.
O princípio da integridade também garante a completude da informação, para que não haja perda
de partes da informação.
Ferramentas do Princípio da Integridade
As ferramentas que garantem o Princípio da Integridade são a Assinatura
Digital e o Backup.
• Assinatura Digital: Quando o usuário assina digitalmente um documento, qualquer alteração
que for feita no documento violará essa assinatura. Portanto, se houver alteração em um
documento assinado digitalmente ou eletronicamente, ele precisará ser assinado novamente, pois
a assinatura anterior foi violada. A assinatura garante o controle das alterações.

4
• Backup: A completude faz parte do backup. Quando parte da informação se corrompe e o
usuário restaura o backup, a totalidade da informação é recuperada, tornando-se íntegra
novamente.
Princípio da Confidencialidade
Segundo o Princípio da Confidencialidade, a informação pode ser acessada apenas por pessoas
autorizadas – isso significa o sigilo da informação. Portanto, a confidencialidade garante o sigilo
da informação e impede que pessoas não autorizadas tenham acesso ao conteúdo.
Ferramenta do Princípio da Confidencialidade
A ferramenta que garante o princípio da Confidencialidade é a Criptografia.
• Criptografia: É uma técnica que embaralha a informação por meio de algoritmos de
criptografia, e faz com que a informação se transforme em algo ininteligível.
Princípio da Autenticidade
O Princípio da Autenticidade garante a veracidade da autoria da informação, porém, não garante
a veracidade do conteúdo da informação. A autenticidade garante a veracidade do autor, de quem
de fato produziu aquela informação, não importando se o conteúdo é verdadeiro ou falso.
• Não Repúdio: A Autenticidade garante também um subproduto, que é o nãoo Repúdio. O Não
Repúdio está contido na autenticidade e significa que o autor da informação não tem como
recusar que ele é o verdadeiro autor. Ou seja, o Não Repúdio é a incapacidade da negação da
autoria da informação.
Ferramentas do Princípio da Autenticidade
As ferramentas que garantem o Princípio da Autenticidade são a Biometria, a Assinatura Digital
e os Certificados Digitais.
• Biometria: A Biometria é uma ferramenta que verifica algumas características físicas da pessoa
para certificar que aquela característica identifica a pessoa unicamente. A Biometria é muito
utilizada nos bancos.
• Assinatura Digital: A assinatura digital identifica unicamente o autor da informação, garantindo
a autenticidade.
• Certificados Digitais: Os certificados Digitais garantem a autenticidade da autoria dos sites.
Ex.: Quando um usuário acessa um site de comércio eletrônico, geralmente há um cadeado no
canto da tela, que mostra o certificado digital do site, afirmando que aquele site de fato pertence
àquela empresa.
2.2.Malware
A palavra malware é originada do inglês, que significa “Malicious Software”, que significa
software malicioso. E como o nome já diz, é um software que se instala no computador da vítima
sem ela saber, e que tem fins maliciosos, como danificação dos arquivos, roubo de dados, roubo

5
de senhas, propagação em massa, exploração do sistema, entre várias outras funções. Agora
vamos para os tipos de malwares e suas características.
Vírus:Os mais conhecidos. Não pela sua função, mas sim por seu nome. A maioria dos malwares
é considerada vírus pelos leigos, justamente por não saberem que eles são divididos em
classificações. Nunca confunda vírus com malware. Todo vírus é um malware, mas nem todo
malware é um vírus.
Bom, a função dos vírus é infectar arquivos do sistema e se multiplicar, como se fosse um vírus
biológico. Ele ataca os arquivos e pode conter um código malicioso dentro dele. O mais
conhecido é o vírus “I Love You”, com o nome original de “Love-letter-for-you.txt”, que após
sua execução, enviava uma cópia de si mesmo para todos da lista de email da vítima. O vírus foi
enviado para mais de 84 milhões de pessoas, e casou um prejuízo de 9 bilhões de dólares. Esse
vírus teve tanto sucesso por usar engenharia social em seu nome. Com o nome de “eu te amo”,
qualquer um ficaria curioso para saber quem era o remetente da mensagem, e certamente abriria
o email, sendo infectado.
Worms:Os worms são uma espécie de subconjunto dos vírus, porém eles contêm algumas
diferenças fundamentais em relação aos vírus. Basicamente, um worm é um programa que
consegue fazer cópias de si mesmo sem infectar outros arquivos. A ideia dele é de instalar-se
uma vez apenas no PC e, a então, procurar uma maneira de conseguir se espalhar para outros
computadores.
Outra diferença é que, ao invés de querer permanecer não detectado, o worm cria uma instância
única do seu código e permanece sozinho, já que ele procura brechas no sistema operacional
infectado e garante que só ele vai rodar na máquina, evitando a infecção por outra ameaça. Isso
quer dizer que o worm é um arquivo separado, que não se adere a arquivos existentes
(procedimento realizado pelo vírus).

Esta estratégia utilizada pelo worm facilita o seu spreading (propagação) através de dispositivos
USB e até mesmo em redes de computadores. Outra técnica utilizada pelos worms, e que é muito
eficiente, é a distribuição de si mesmo através de e-mails, nos quais são criados anexos
infectados. Estes e-mails são enviados para toda a lista de contatos da pessoa que teve o seu
computador infectado, como no vírus I Love You, e a vítima nem sabe que isso está
acontecendo.

Keyloggers:São usados para a captura de teclas no computador da vítima.

Os primeiros tipos de keyloggers eram peças físicas que eram conectadas entre o computador e a
saída do teclado, como se fosse um adaptador, e o cracker tinha que inserílo no computador da
vítima, ou seja, precisava de acesso físico ao PC para conseguir instalálo. Além de uma boa
engenharia social, o cracker precisaria ter acesso ao PC novamente, já que ele teria que remover
o equipamento depois que a vítima tivesse digitado o que ele queria.
O outro tipo de keylogger – e mais comum – é o software. Um programa que o cracker configura
e tem a mesma finalidade do keylogger físico. A diferença é que este pode ser controlado
remotamente, e tem variantes.

Quando infectada, a vítima tem seu teclado monitorado, e tudo que for digitado será capturado
pelo keylogger, que enviará os dados para o cracker, geralmente via e-mail.

6
Mas aí surge uma dúvida e você pergunta: “Mas Nick, as pessoas escrevem muitas coisas por
dia, o cracker não levaria tempo para conseguir encontrar o que quer, diante de tanto texto?”
Sim, e é por isso que foi inventado o Smart Keylogger, o keylogger que só pega o que é
interessante para o invasor, como senhas, emails, etc...
Os Smart Keyloggers são mais conhecidos no mundo banker(mundo dos fraudadores de dados
bancários), pois ficam escondidos no PC da vítima em estado de listenning(escuta), aguardando
que um site de banco seja aberto. Assim que a vítima digita a URL do site no navegador, o
keylogger entra em actividade e fica aguardando pelo pressionamento das teclas. A vítima digita
a senha, o keylogger captura a senha, e quando o site do banco é fechado, ele para a sua
actividade e volta ao estado de escuta.

Botnets: Já citadas anteriormente no capítulo de ataques DoS, a utilização de botnets é a

principal forma de ataque de DDoS. O cracker envia o malware para várias pessoas - podendo
ele ter a capacidade de se propagar, como um vírus - até formar uma rede, chamada de rede
zumbi. Ele então tem controle sobre todos os zumbis infectados, e pode ordenar que eles iniciem
ataques contra uma ou várias vítimas. Na ilustração abaixo você pode ver como funciona esse
ataque. No caso, o “Controller”é o client da botnet que fica no PC do cracker.
Basicamente o cracker envia um comando para todos os infectados, e todos interpretam o mesmo
comando, ao mesmo tempo. Se ele ordenar que todos ataquem o site X, todos farão. E isso é útil
para ele, porque assim ele não precisa se preocupar em usar a própria banda de rede para fazer o
ataque, já que está usando computadores escravos para fazer isso por ele. Então, a conexão dele
com internet permanece estável, enquanto que a conexão dos zumbis fica oscilando.

Backdoors:São ferramentas simples que se acoplam aos malwares mais complexos.

Sua função é abrir uma brecha no sistema da vítima, para garantir que o cracker consiga conectar
lá sempre, ou seja, manter acesso. Os backdoors são usados em invasões à servidores WEB,
como nós vimos no capítulo de Pentest, onde o cracker hospeda o malware no site da vítima, e
sempre que quiser, pode conectar a ele, sem que a vítima saiba. Ele atua geralmente abrindo
portas no firewall, ou utilizando de alguma brecha em algum programa ou serviço que se conecta
a internet.
Mas o contrário também acontecer, você pode ser hackeado – indirectamente – por um site. O
cracker pode hospedar arquivos maliciosos em alguma linguagem WEB, e esses arquivos
exploram falhas existentes no navegador que você estiver usando. Há uma falha de buffer
overflow no Internet Explorer 7, onde um script mal intencionado faz com que ele dê crash. (Isso
é um ataque de negação de serviço (DoS)!)

Rootkits: Eles são bem complexos, geralmente são implementados em outros malwares para que
fiquem indetectáveis pelo usuário. Sua função basicamente é usar técnicas que fazem com que o
sistema não consiga perceber sua presença na máquina.
Por exemplo, se você estiver infectado com um determinado rootkit, e abrir o gerenciador de
tarefas para ver se ele está executando, antes de o gerenciador ser aberto, o rootkit intercepta esse
pedido e filtra os programas que aparecem na lista, excluindo ele mesmo dela. Assim, quando
você olhar a lista, ele não estará lá, porque o programa gerenciador de tarefas foi modificado por
ele para que ele não seja exibido na lista. Essa técnica é conhecida como API Hooking, onde
você usa uma função do Windows para modificar ela mesma, em tempo real.

7
Ransomwares: Não são muito conhecidos no Brasil, são mais utilizados na Europa, mas com
certeza são os piores que existem. São terríveis!
Os ransomwares são malwares que se instalam no PC da vítima, e usam um algoritmo
criptográfico que faz com que o PC se torne utilizável, e pede uma certa quantia em dinheiro
para o resgate da senha até um certo tempo. Ou seja, uma vez infectada, a vítima não poderá
mais utilizar o computador, pois todos os arquivos lá presentes estarão criptografados, e só o
cracker tem a senha para descriptografar. Essa senha só será entregue caso a vítima faça o
pagamento que o cracker deseja, caso contrário, a senha será destruída, e o PC não poderá mais
ser usado.
O último RansomWare que eu tenho notícia é o CryptoLocker. Ele se propaga por meio de uma
engenharia social via email. O email falso se passa por uma companhia que oferece uma
proposta de trabalho, e o executável fica anexado à mensagem. Nele, os crackers pedem a
quantia de 100 dólares / 100 euros para que a senha seja enviada e o PC seja destravado.
Caso contrário, em um determinado período de tempo, a chave de desbloqueio seria apagada,
forçando a vítima a formatar o computador.
Trojans:Aí estão eles, os grandes, os poderosos, os mais conhecidos. Pensou que eu tinha
esquecido deles? Deixei-os para o final. São os famosos cavalos de Troia.
Mas você sabe por que ele recebe esse nome? Bom, imagino que você saiba a história do cavalo
de Troia, mas se não sabe, procure no Google.

Os trojans funcionam como o Cavalo de Troia, são enviados para que se passem por outro
programa, ou imagem, ou vídeo, e quando são executados, ocorre um processo de extração, onde
o ele se instala no sistema, sem a vítima saber, e lá ele fica.

O trojan é dividido em dois programas, o cliente e o servidor. O cliente é o painel das vítimas,
que fica sob controle do cracker. É nele que todas as ações são executadas. E o servidor é o
malware em si, é ele que é executado pelas vítimas. São normalmente chamados de Client e
Server, respectivamente.

Quais as funções do trojan? Os trojans actualmente contam com muitas funções, há alguns que
contém todas as funções dos malwares citados acima, mas normalmente eles são usados para
espionagem, captura de informações digitadas, manipulação de arquivos.

Você faz qualquer coisa com um trojan, tudo o que quiser. Capturar senhas, ver webcam, enviar
pop-ups, abrir sites, baixar/enviar/apagar/criar arquivos, desligar o pc, inverter os botões do
mouse... Até formatar o PC da vítima você consegue.

Existem dois tipos de trojans, os de conexão reversa e os de conexão direta.

Conexão Reversa:São os mais comuns, é o trojan em que o server se conectam ao client. Todas
as vítimas ficam tentando se conectar ao cracker, e quando conseguem, ficam no aguardo dos
comandos, para que possam executá-los. Dessa forma, o cracker consegue se comunicar com
todos os servidores ao mesmo tempo, e executar tarefas simultaneamente.
Conexão Direta: São menos comuns, justamente por terem perdido lugar para os de conexão
reversa. Nesses, ao contrário dos de conexão reversa, é o client que se conecta com os servers.
Então, o servidor instalado no computador das vítimas fica aguardando a conexão do client, que
é feita manualmente pelo cracker. Quando a conexão é feita, a transferência de informações
acontece como no de conexão remota, porém, com apenas uma vítima de cada vez. Essa é a
8
desvantagem do trojan de conexão direta, ele consegue se conectar apenas a uma vítima de cada
vez, então, não é possível enviar comandos em massa para todas as vítimas infectadas.
2.3.Rootkit
Antes de definismos o Rootkit, é importante falarmos do que são Malwares, sendo que Rootkit e
um tipo de Malware.
O termo Malware se refere a software que danifica dispositivos, rouba dados e causa o caos. É a
abreviação de "software malicioso" (em inglês, malicious software) e se refere a um tipo de
programa de computador desenvolvido para infectar o computador de um usuário legítimo e
prejudicá-lo de diversas formas.
Frequentemente um Malware é desenvolvido por times de hackers que, na maioria das vezes,
estão apenas buscando uma forma de fazer dinheiro, seja pela proliferação do próprio Malware
ou por meio de leilão na Dark Web. De qualquer forma, podem haver outras razões para a
criação de Malwares. Esses softwares maliciosos podem ser usados como ferramentas de
protesto, uma forma para testar a segurança de uma rede ou até mesmo como armas de guerra
entre governos.
Um Rootkit é um tipo de Malware projetado para dar aos hackers acesso e controle sobre um
dispositivo. É um software usado por criminosos cibernéticos para obter controle sobre um
computador ou rede alvo, um software, na maioria das vezes malicioso, criado para esconder ou
camuflar a existência de certos processos ou programas de métodos normais de deteção e
permitir acesso exclusivo a um computador e suas informações. O sistema operacional
Linux/Unix tem relação com o início desse software. Ele funciona como um backdoor, que
significa uma porta em que o usuário, bem ou mal-intencionado, pode entrar e sair livremente,
fazendo o que bem entender sem que os mecanismos tradicionais de antivírus e defesas do
computador inibam essa ação.
O termo Rootkit é a junção da palavra "Root" é a definição usada para os usuários que possuem o
controle total de um computador. (do inglês raiz e nome tradicional da conta privilegiada de
superusuário administrador em sistemas operacionais semelhantes a Unix) e a palavra "kit" (que
se refere aos componentes de software que implementam a ferramenta).
O Rootkit intercepta os dados que são requisitados e faz uma filtragem dessa informação quando
algum sistema operacional efetua um pedido de leitura de um arquivo, deixando o sistema ler
apenas os arquivos que não estão infectados. Por isso, o antivírus instalado na máquina ou outra
ferramenta de segurança do computador não consegue detectar alguma ameaça ou arquivo
malicioso.
Um computador pode adquirir esse tipo de software malicioso de diversas maneiras. No entanto,
o modo mais comum é por meio de algum cavalo de troia ou algum anexo ou link de um email.
Também, alguns sites podem instalar arquivos indevidos em seu computador que contenham um
Rootkit. Por exemplo, é possível que ao instalar um plug-in no seu navegador ou mesmo um
programa em sua máquina que sejam suspeitos, um Rootkit esteja escondido entre alguns
arquivos e acabe infectando o seu equipamento.

9
Nos computadores com Windows, geralmente, os Rootkits infectam as tarefas e processos de
memória, conseguindo anular os pedidos do programa que está com esse software malicioso.
Como resultado, o programa pode não encontrar os arquivos necessários para funcionar. De
maneira prática, é possível dizer que os Rootkits são responsáveis por enganar os programas que
estão infectados, os fazendo acreditar que os arquivos necessários não estão presentes,
provocando mensagens de erro.
Nas máquinas equipadas com sistema operacional Linux/Unix, o processo é um pouco distinto. O
Rootkit que estiver em uma máquina com esse sistema operacional irá trocar um programa de
listagem de arquivos. Dessa forma, o trojan ficará salvo e escondido no sistema. Caso ninguém
descubra que ele está lá, o indivíduo malicioso pode acessar a máquina quantas vezes quiser.
No entanto, nem sempre os Rootkits são instalados com finalidades negativas. Rootkits corretos
podem ser instalados juntamente com aplicativos legítimos, a fim de assumirem funções que
melhorem o serviço prestado pelo programa.

2.4.Tipos de Rootkit
Existem vários tipos de Rootkits, cada um atacando partes diferentes do computador. De uma
maneira geral, quanto mais ao nível do núcleo está um Rootkit, mais grave é o problema e mais
difícil é de detetar. Enquanto que os Rootkits que afetam o software são relativamente fáceis de
gerir, aqueles que atacam os drivers, a memória e o sistema operativo são muito mais
complicados. 1. Hardware ou Rootkit de firmware
Os Rootkits de hardware ou firmware podem afetar seu disco rígido, seu roteador ou a BIOS de
seu sistema, que é o software instalado em um pequeno chip de memória na placa-mãe do seu
computador. Em vez de ter como alvo o sistema operacional, eles visam o firmware do seu
dispositivo para instalar malware, que é difícil de detectar. Porque afetam o hardware, permitem
aos hackers registrar tudo que você tecla, bem como monitorizar a atividade online. Embora
menos comuns que outros tipos, os rootkits de hardware ou firmware são uma grave ameaça à
segurança online. São mais raros quando comparados com outros tipos.
2. Rootkit de memória
Os Rootkits de memória escondem-se na memória RAM e utilizam os recursos do seu
computador para realizar atividades maliciosas em segundo plano. Os Rootkits de memória
afetam o desempenho da memória RAM do seu computador. Como eles só vivem na RAM do
seu computador e não injetam um código permanente, os Rootkits de memória desaparecem
assim que você reinicia o sistema – embora às vezes não seja tão fácil se livrar deles. A sua curta
duração significa que tendem a não ser percebidos como uma ameaça significativa.
3. Rootkit de aplicativos
Os Rootkits de aplicativos substituem os arquivos padrão em seu computador por arquivos
Rootkit e podem até mudar a maneira como os aplicativos padrão funcionam. Estes Rootkits
infectam programas como o Microsoft Office, Notepad, ou Paint. Os criminosos podem obter
acesso ao seu computador cada vez que você executar esses programas. Como os programas

10
infectados ainda rodam normalmente, a deteção de Rootkit é difícil para os usuários – mas os
programas antivírus podem detectá-los, pois ambos operam na camada do aplicativo.
4. Rootkits em modo Kernel
Ao contrário dos Rootkits de aplicação, os Rootkits de modo Kernel estão entre os mais graves
de todos, dado que atacam o núcleo, ou core, do sistema operativo. Os hackers usam-nos não só
para aceder aos ficheiros no computador-alvo, mas também para alterar a funcionalidade do
sistema operativo, adicionando o seu próprio código. Enquanto que estes Rootkits podem alterar
por completo a performance do sistema, ainda assim são mais fáceis de identificar e tratar do que
outros tipos cujos efeitos vão mesmo além do sistema operativo.

5.Rootkits ao Nível do Bootloader

Como o próprio nome indica, os Rootkits de Bootloader afetam o Master Boot Record (MBR)
e/ou o Volume Boot Record (VBR) do sistema. Apesar de terem um impacto direto no sistema,
estes Rootkits associam-se a ficheiros do registo de inicialização (boot record) em vez de
ficheiros comuns, o que os torna difíceis de detetar e remover. Ainda para mais, se um destes
Rootkits conseguir injetar código para o interior do MBR, pode danificar todo o sistema.
Felizmente, os Rootkits ao nível do bootloader estão praticamente em vias de extinção. Com o
lançamento do Windows 8 e do Windows 10, a maioria dos PCs têm agora a opção de Secure
Boot (arranque seguro), que foi desenhada especialmente para combater Rootkits de bootloader.
Porém, máquinas que estejam a correr o Windows 7, quer seja a versão de 32-bits ou de 64-bits,
podem continuar em risco.

2.5.Exemplos de Rootkit
Stuxnet
Um dos Rootkits mais notórios da história é o Stuxnet, um worm de computador malicioso
descoberto em 2010 e acredita-se que está em desenvolvimento desde 2005. O Stuxnet causou
danos substanciais ao programa nuclear do Iran. Embora nenhum dos dois países tenha admitido
responsabilidade, acredita-se que seja uma arma cibernética criada conjuntamente pelos EUA e
Israel, num esforço de colaboração conhecido como os Jogos Olímpicos.
Flame
Em 2012, especialistas em segurança cibernética descobriram o Flame, um Rootkit usado
principalmente para espionagem cibernética no Oriente Médio. Flame – também conhecido
como Flamer, sKyWIper e Skywiper – afeta todo o sistema operacional de um computador,
dando-lhe a capacidade de monitorar o tráfego, fazer capturas de tela e áudio e registrar
toques no teclado do dispositivo. Os hackers por trás do Flame não foram encontrados, mas

11
pesquisas sugerem que eles usaram 80 servidores em três continentes para acessar
computadores infectados. Necurs
Em 2012, o Necurs surgiu como um Rootkit e foi detectado em 83.000 infecções nesse ano.
Associado aos criminosos cibernéticos de elite do Leste Europeu, considera-se que o Necurs se
destaca devido à sua complexidade técnica e capacidade de evolução.
ZeroAccess
Em 2011, especialistas em segurança cibernética descobriram o ZeroAccess, um Rootkit em
modo kernel que infectou mais de 2 milhões de computadores em todo o mundo. Ao invés de
afetar diretamente a funcionalidade do computador infectado, este Rootkit baixa e instala
Malware na máquina infectada e o torna parte de uma rede de bots mundial utilizada por hackers
para realizar ataques cibernéticos. ZeroAccess está ativamente em uso hoje.

TDSS
Em 2008, o Rootkit TDSSfoi detectado pela primeira vez. Isto é semelhante aos Rootkits do
carregador de inicialização porque ele carrega e funciona nos estágios iniciais dos sistemas
operacionais – tornando a detecção e remoção um desafio.

As funcionalidades dos Rootkits dividem-se nas seguintes categorias:

• Manter o acesso: é caracterizado pelos backdoors, tanto para manter o acesso local, quanto
acesso remoto. Podem ser usadas diferente ferramentas para o fazer, sendo exemplo o Telnet
e o SSH. O acesso local pode ser mantido através de ferramentas do sistema alteradas, como
o login, de utilizadores especiais com acesso de root.
• Permitir atacar outros sistemas: as ferramentas de ataque dos rootkits também têm a função
de ampliar o território do atacante. Estas podem ser para ataque local, remoto ou DoS (Denial
of Service). As ferramentas para acesso local são utilizadas para recuperar o acesso de
administrador do sistema, caso seja perdido. Os rootkits também possuem sniffers para
captura de passwords em protocolos não seguros como: POP3, IMAP, telnet e ftp. São
habitualmente utilizados para criar redes zumbis (botnets) e utilizar o sistema como parte de
uma rede de computadores remotamente controlados.
• Destruir evidências: eliminar as evidências de um sistema atacado e impedir que novas
provas sejam produzidas, a remoção destes vestígios inclui a limpeza de vários ficheiros de
logs, de aplicações, históricos e registos de auditoria.
2.6.Como detectar Rootkits
Detectar a presença de um Rootkit em um computador pode ser difícil, pois este tipo de Malware
é explicitamente projetado para ficar escondido. Os Rootkits também podem desativar o software
de segurança, o que torna a tarefa ainda mais difícil. Como resultado, o Malware Rootkit pode
permanecer no seu computador por um longo tempo causando danos significativos.

12
Possíveis sinais de Malware de Rootkit incluem:
1. Tela azul
Um grande volume de mensagens de erro do Windows ou telas azuis com texto branco (às vezes
chamado de "tela azul da morte"), enquanto seu computador precisa reiniciar constantemente.
2. Comportamento inusitado do navegador
Isto pode incluir indicadores não reconhecidos ou redireccionamento de links.
3. Desempenho lento do dispositivo
O seu aparelho pode demorar algum tempo para começar e funcionar lentamente ou congelar
frequentemente. Também pode não responder à entrada do mouse ou do teclado.

4. As configurações do Windows mudam sem permissão

Exemplos podem incluir a mudança do seu protetor de tela, a barra de tarefas se escondendo, ou
a exibição incorreta de data e hora – quando você não tiver mudado nada.
5. As páginas da web não funcionam corretamente
As páginas web ou atividades de rede aparecem intermitentes ou não funcionam corretamente
devido ao tráfego excessivo na rede.
Uma verificação de Rootkit é a melhor maneira de detectar uma infecção por Rootkit, que a sua
solução antivírus pode iniciar. Se você suspeitar de um vírus Rootkit, uma maneira de detectar a
infecção é desligar o computador e executar a verificação a partir de um sistema limpo
conhecido.
A análise comportamental é outro método de detecção de Rootkit. Isso significa que ao invés de
procurar pelo Rootkit, você procura por comportamentos semelhantes aos do Rootkit. Enquanto
as varreduras direcionadas funcionam bem se você souber que o sistema está se comportando de
forma estranha, uma análise comportamental pode alertá-lo para um Rootkit antes que você
perceba que está sob ataque.

2.7.Métodos de dectectar Rootkits

Métodos para detectar Rootkits ao nível do utilizador segundo (Steding-Jessen & Murilo, 2001):
•Pesquisa por caracteres – A pesquisa por caracteres conhecidos, como nomes de ficheiros de
configuração, utilizadores, palavras passe, endereços IP, entre outros, em binários trojaned, pode
indicar a presença de um Rootkit no sistema;

13
•Verificação de integridade – A verificação e comparação periódica de hashes de programas e
ficheiros contra hashes geradas após uma instalação inicial do sistema, pode indicar a presença
de alterações maliciosas em ficheiros, causadas por rootkits;
•Verificação de processos do sistema e bibliotecas –pode indicar acessos indevidos a ficheiros de
configuração utilizados por Rootkits;
•Análise de MAC times – MAC times de programas e ficheiros pode auxiliar no isolamento de
possíveis alterações feitas após um ataque;
•Análise de Ligações de rede – A verificação por portas abertas e ligações suspeitas pode indicar
a presença de um backdoor remoto no sistema;
•Análise processos do sistema e símbolos do kernel –símbolos incomuns no kernel podem
indicar a presença de um Rootkit em nível de kernel;
•Procura por outros indícios – A pesquisa por processos activos, mas não contabilizados no
sistema, via uma busca excessiva no número total de identificador de processo (PID) disponível;
directórios e ficheiros ocultos, o número de directórios e ficheiros visíveis são diferentes dos
contabilizados; indícios de alterações em ficheiros de logs, como entradas apagadas ou
sobrescritas; a presença de utilizadores estranhos; ficheiros de configuração e scripts incomuns
no sistema; possível indicação da presença de binários trojaned que dá acesso de root; possível
resíduo de processos, de ficheiros abertos e da compilação de programas; entre outros, podem ser
indícios de que o sistema foi atacado e de que Rootkits foram utilizados.
Métodos para detectar Rootkits ao nível do kernel segundo (Qian, Zhou, Kong, Zhu, & Qian,
2007):
•Detecção de substituição (call hooks) de processos do sistema (syscalls) – Verifica-se os
endereços, na tabela de símbolos contida na memória ou nos ficheiros do kernel, das syscalls e
compara-se com os endereços encontrados na tabela de syscalls contida na memória;
•Detecção de jumps incondicionais (inline function hooks) – Verifica-se toda a memória do
kernel em busca de jumps incondicionais que apontem para fora da semântica da função
analisada;
•Detecção de funções que tiveram o seu código alterado (code byte patches) – hash ou baseline
da memória do kernel, após uma instalação nova, e compara-se com a memória do sistema.
Também é possível utilizar sistemas de verificação de integridade locais de forma a detectar
alterações em programas, ficheiros e logs do sistema.
2.8.Como remover um Rootkit
Vários tipos de Rootkits correm com privilégios mais elevados que a maioria dos programas de
cibersegurança, razão pela qual podem ser extremamente difíceis de detetar. Para encontrar
Rootkits no seu sistema, precisa de uma ferramenta anti-malware avançada com extras dedicados
a Rootkits. Felizmente, o melhor software antivírus para PC com Windows 10 inclui sempre
ferramentas para analisar e remover Rootkits, permitindo-lhe lidar facilmente com estas ameaças.

14
Se suspeita que o seu computador está infetado com um Rootkit, deverá procurar por sinais
típicos de uma infeção. Estes incluem normalmente uma performance mais lenta e níveis de
memória RAM livre baixos, data e hora incorretos no canto inferior direito do seu ecrã, bem
como ocorrências frequentes do infame “Blue Screen of Death” (ecrã azul da morte). Além
disso, algumas ou todas as funcionalidades do seu programa antivírus ou anti-malware podem
ficar automaticamente desabilitadas quando o software infetado pelo Rootkit é lançado pela
primeira vez.
Apesar de alguns Rootkits poderem afetar o seu hardware, todos eles têm origem numa
instalação de software malicioso. Como tal, a sua melhor aposta é usar apenas software antivírus
para MacOS, que está equipado para lhe oferecer proteção em tempo real contra todas as
ameaças, incluindo vírus, Malware, e Rootkits. Certifique-se que efetua análises regulares ao seu
sistema e atualiza as definições de vírus diariamente. Para evitar Rootkits de bootloader, é
também aconselhável atualizar o seu sistema operativo para o Windows 8 ou acima.

2.9.Como prevenir os Rootkits

Como os Rootkits podem ser perigosos e difíceis de detectar, é importante permanecer vigilante
ao navegar na internet ou ao fazer download de programas. Muitas das mesmas medidas de
proteção que você toma para evitar vírus de computador também ajudam a minimizar o risco de
Rootkits:
1. Use uma solução de segurança cibernética abrangente
Seja proativo na segurança dos seus dispositivos e instale uma solução antivírus abrangente e
avançada. OKaspersky Total Security oferece proteção total contra ameaças virtuais e também
permite que você execute varreduras de Rootkit.
2. Mantenha-se atualizado
Atualizações contínuas de software são essenciais para manter-se seguro e evitar que os hackers
o infectem com Malware. Mantenha todos os programas e seu sistema operacional atualizados
para evitar ataques de Rootkit que tirem proveito das vulnerabilidade.

3. Esteja atento a golpes de phishing

Phishing é um tipo de ataque de engenharia social em que os golpistas usam o e-mail para
enganar os usuários a fornecer-lhes suas informações financeiras ou baixar softwares maliciosos,
tais como Rootkits. Para evitar a infiltração de Rootkits no seu computador, evite abrir e-mails
suspeitos, especialmente se o remetente não estiver familiarizado com você. Se você não tem
certeza se um link é de confiança, não clique nele.
4. Baixe arquivos somente de fontes confiáveis

15
Tenha cuidado ao abrir anexos e evite abrir anexos de pessoas que você não conhece para evitar
que o Rootkit seja instalado no seu computador. Baixe o software apenas de sites respeitáveis.
Não ignore os avisos do navegador quando ele lhe informa que um site que você está tentando
visitar não é seguro.
5. Esteja atento ao comportamento ou desempenho do seu computador
Questões comportamentais podem indicar que um Rootkit está em funcionamento. Fique atento a
quaisquer mudanças inesperadas e tente descobrir porque é que estas estão a acontecer.
Os Rootkits são um dos tipos de Malware mais desafiadores de encontrar e remover. Por serem
difíceis de detectar, a prevenção é muitas vezes a melhor defesa. Para garantir proteção contínua,
continue aprendendo sobre as últimas ameaças à segurança cibernética

3.Conclusão
Conclui-se o seguinte trabalho sobre os Rootkits, que deu a informar sobre o Malware, os tipos
de Rootkits, exemplos, e identificou como remover, evitar e identificar eles.
Viu-se a importância de conhecer essa ameaça, pois ela pode criar problemas se não prevenida, e
se for obtida não ser removida. Mesmo sendo possível adquirir o Malware no seu uso do
dispositivo, por sites que tenham o Malware, e necessário ter noção de identificar ele, e remover,
ou mesmo prevenir para evitar a danificação do dispositivo.
Sendo que a informação que carregamos importante, essas medidas de prevenir e remover são
importantes para não correr risco de danificação ou perca da nossa informação importante,
portanto sendo o Malware uma ameaça.

16
4.Referencia Bibliográfica
Gran cursos online. Segurança da informação. Disponível em: www.grancursosonline.com.br.
Acesso em: 24 de maio de 2022.
Kaspersky. O que é Malware. Disponível em: www.kaspersky.com.br. Acesso em: 23 de maio de
2022.
Kaspersky. Como detectar e prevenir Rootkit. Disponível em: www.kaspersky.com.br. Acesso
em: 23 de maio de 2022.
NASCIMENTO, Anderson. O que é Rootkit. Disponível em: Canaltech.com.br. Acesso em: 23
de maio de 2022.
PINTO, Pedro. Sabe o que são Rootkits? Saber como detectar. Disponível em: PPlware.sapo.pt.
Acesso em: 23 de maio de 2022.
REGAN, Joseph. O que é um Malware. Disponível em: www.avg.com. Acesso em 23 de maio
de 2022.
Softwarelab. O que é um Rootkit. Disponível em: Softwarelab.org. Acesso em: 23 de maio de
2022.
Wikibooks. Guia do hacker/Malware:Tipos e caraterísticas. Disponível em: pt.m.wikibooks.org
Acesso em: 24 de maio de 2022.

17