Cosa sono i Rootkit

Vediamo insieme cosa sono veramente i rootkit:

I rootkit sono in grado di intercettare le funzioni di un sistema operativo, rilasciando risultanti e dati modificati. Per nascondere, ad esempio, una cartella contenente software malevolo (virus, backdoor ecc.) i rootkit potrebbero sostituirsi alla funzione che mostra i file in un sistema operativo  nascondendo quelli “scomodi”. Tali file risulterebbero invisibili non solo all’utente, ma anche ad un potenziale antivirus, che di fatto usa le funzioni del sistema operativo per effettuare una scansione. 
Si è soliti a distinguere due tipi di rootkit, relativamente al livello di profondità in cui agiscono:

• I rootkit a livello kernel sono i più subdoli perché modificano a tutti gli effetti il cuore del sistema operativo, rendendo la loro individuazione difficile, se non talora impossibile.
• I rootkit a livello applicazione, invece, sostituiscono gli  eseguibili di determinate funzioni e sono di più facile individuazione. Potrebbe ad esempio essere creato un rootkit che modifica solamente il Task Manager di Windows per nascondere determinati processi, quali virus o backdoor.

Non tutti i rootkit però sono “cattivi”, infatti alcuni di questi programmi nascosti sono usati con scopi positivi, come ad esempio l’antivirus Kaspersky che utilizza le tecniche dei rootkit per nascondere i suoi ADS (Alternate data streams), file nascosti in cui memorizza informazioni sulle scansioni del sistema. Purtroppo, l’uso positivo dei rootkit è molto limitato, mentre sarà sempre più frequente assistere  ad una loro combinazione con worm e virus. I rootkit possono essere sfruttati, infatti, per nascondere i dati che entrano ed escono dal PC, by passando la protezione di firewall e antivirus.