La parola rootkit è oggi, per tutti i lettori di PI, qualcosa che ha a che fare con Sony BMG e i suoi CD . Ed è anche un po’ giusto che sia così, data la pratica che si è rivelata perpetrare nei confronti degli ignari clienti, contro la loro volontà ma soprattutto tenendoli volutamente all’oscuro di tutto.
Ebbene è questo che fa un rootkit, nelle parole di due celebri smanettoni, Bryce Cogswell e Mark Russinovich: è un programma malevolo che utilizza meccanismi o tecniche per nascondere la propria presenza agli spyware blockers/detectors, agli antivirus e ad altri stumenti di gestione e controllo.
Ci sono svariati tipi di Rootkit, la cui classificazione è essenzialmente legata alla sopravvivenza dell’infamone anche al reboot oppure al modo in cui viene eseguito, ovvero in “user mode” oppure in “kernel mode”.
Naturalmente gli autori di RootKit Revealer , il freeware per Windows qui recensito, non pensano di aver creato lo strumento che risolve tutti i problemi relativi ai RootKit: tutti i sortilegi, malefici, fatture e malocchi di vario genere che possono affliggere il migliore amico informatico dell’uomo generalmente si snidano più facilmente su sistemi non-in-funzione; conviene quindi staccare l’hard disk, collegarlo ad una macchina sicura e fare le scansioni partendo da quella (oppure partire da CD), se si vuole aumentare il grado di affidabilità di queste scansioni; gli autori ricordano infatti che un rootkit (e così un keylogger !) in kernel-mode può controllare qualsiasi aspetto del sistema in modo tale da mettere comunque i bastoni fra le ruote agli strumenti di controllo come RootKit Revealer .
Rootkit Revealer è estremamente semplice: si scarica, si scomprime in una cartella e quindi si esegue; effettua la scansione di file e registro e informa l’utente su cosa abbia trovato di sospetto secondo le sue istruzioni. Dato che alcune precedenti versioni di questo freeware erano già oggetto di contromosse da parte di alcuni malware, RootKit Revealer usa un simpatico trucchetto che consiste nell’eseguire le proprie scansioni da una copia di se stesso rinominata in modo casuale, che viene eseguita come servizio di Windows.
RootKit Revealer non si occupa di prendere a solenni e precise mazzate o fare controfatture a ciò che viene indicato dal suo dito accusatore. Lo mostra e basta. È cura dell’utente prendere eventuali ed opportune contromisure.
RootKit Revealer permette automazioni attivabili da consolle, anche con output su file e per gli amministratori di sistema che desiderino approfondire sono a disposizione interessanti suggerimenti sull’interazione di questo strumento con altri della Sysinternals . A disposizione anche un buon help, ed un forum presso il sito; il tutto in lingua inglese. ( GF )