I prossimi pericoli che insidieranno i sistemi Windows saranno i rootkit. A parlare sono stati gli esperti di sicurezza della Microsoft durante l’ultima RSA conference di San Francisco. I ricercatori hanno affermato di essere già al lavoro su un nuovo software chiamato provvisoriamente Strider Ghostbuster in grado di eseguire una scansione del sistema operativo alla ricerca di modifiche nei principali file di Windows
Nell’attesa di vedere in azione la prima release del software “stana rootkit” di Redmond, Sysinternals nota società di sicurezza che ha all’attivo numerosi programmi di monitoring in ambiente Windows (TCPview, Regmonitor, Process Explorer etc.) ha rilasciato un tool gratuito chiamato RootKit Revealer. Di soli 270 Kb e per di più stand alone il software è in grado di scansionare i processi in esecuzione e i registry hives individuando rootkit che agiscano sia in kernel che in user mode manipolando le API (application programming interface) di Windows e dunque tentando di rendersi invisibili.
Pur essendo dotato di una GUI molto semplice e di una velocità di scansione notevole il programma non mi ha convinto particolarmente soprattutto per la mancanza di un feedback comprensibile a scansione ultimata. Sul mio sistema di prova, di certo non infettato da rootkit, il risultato della scansione ha restituito ben 31 discrepanze tra la lista dei file visualizzati da una chiamata alla Windows API e il contenuto a basso livello del file system. Il programma inoltre non è dotato di una funzione di aggiornamento via Internet
che sarebbe stata molto utile.
