BitDefender si è aggiunta alla sempre più lunga lista di aziende di sicurezza che stanno testando e sviluppando strumenti di rilevamento e cleanup anti-rootkit. L'azienda antivirus, una divisione della rumena Softwin, ha svelato due giorni fa la seconda versione beta di nuova utility anti-rootkit, "Rootkit Uncover", che promette di isolare e rimuovere i codice "stealth" che vengono usati sempre più spesso dai cybercriminali per nascondere i loro programmi malware al sistema attaccato e agli strumenti di rilevamento antivirus.

Il rootkit cleaner di BitDefender è disponibile come utility standalone gratuitamente per i beta tester registrati (anche se l'accesso ai software beta sembra essere pubblico). I piani dell'azienda sono quelli di integrare funzionalità di rootkit-detection anche alla sua suite principale di sicurezza BitDefender Internet Security v10, attualmente in fase conclusiva di beta test. Vito Souza, North American marketing coordinator per BitDefender, ha affermato che la crescente diffusione delle infezioni rootkit su macchine Windows ha reso fondamentale per i prodotti di sicurezza includere capacità anti-rootkit.

Microsoft ha affermato in un recente report basato sui dati provenienti dal suo Strumento di Rimozione Malware per Windows, che "i rootkit sono una minaccia potenziale emergente ma non hanno ancora raggiunto un alta diffusione". Questo dato contrasta in parte con uno studio precedente condotto da Mcafee, che in Aprile aveva dichiarato che il numero di rootkit stava crescendo in maniera molto rapida. Questo tipo di software è divenuto pubblicamente noto quando fu scoperto che il software di protezione anticopia DRM usato da Sony BMG Music Entertainment nei CD del suo catalogo faceva uso di una simile tecnologia per nascondere il driver DRM nel sistema. Microsoft ha incluso nel suo tool capacità di rilevamento e rimozione per il "Sony rootkit" a Dicembre dell'anno scorso e il suo tool ha rimosso questo software 250,000 volte circa. Tra Gennaio 2005 e Marzo 2006 il Windows Malicious Software Removal Tool ha isolato un rootkit sul 14 percento dei 5.7 milioni di PC da cui ha rimosso software nocivo, dato che scende a 9 percento se si esclude il rootkit di Sony. In circa il 20 percento dei casi insieme ad un rootkit è stato individuato anche un backdoor Trojan.

 Nuove Minacce Informatiche Stealth  -  I Rootkits All'Attacco di XP SP2  -  Sony Rootkit 

Microsoft ha anche aggiunto capacità di rilevamento rootkit limitate al suo prodotto anti-spyware per desktop Windows Defender, mentre altre aziende di sicurezza, prime fra tutti F-Secure (BlackLight) e Winternals (RootkitRevealer), hanno già da tempo messo a punto i loro software specifici per contrastare questo tipo di infezioni stealth.

Nel frattempo gli esperti di sicurezza continuano a cercare nuove tecniche che potrebbero consentire ai cybercriminali di rendere i rootkit ancora più difficili da rilevare. Recentemente Joanna Rutkowska, ricercatrice che studia gli stealth malware per l'azienda di sicurezza COSEINC, ha richiamato l'attenzione su un nuovo concept, chiamato "Blue Pill", che sfrutta la tecnologia di virtualizzazione AMD SVM/Pacifica per creare un hypervisor ultra-leggero capace di prendere il completo controllo del sistema operativo "sottostante", un malware, come lei stessa dichiara sul suo blog Invisible Things, "impossibile da rilevare al 100%", anche su Windows Vista x64, sistema per il quale è stato creato il proof of concept. La nuova "frontiera" per i codici invisibili sembra infatti proprio quella dei rootkit basati su macchina virtuale. Anche i ricercatori di Microsoft Research in collaborazione con la University of Michigan avevano creato un rootkit VM-based chiamato "SubVirt", quasi impossibile da rilevare, dato che i software di sicurezza in esecuzione sul computer attaccato non potevano accedere al suo "stato". Questo codice, a differenza di "Blue Pill", poteva comunque essere rilevato off-line in virtù di alcune modifiche apportate al hard disk del computer necessarie per il suo funzionamento.

 Blue Pill: Malware 100% Invisibile  -  Rootkit VM-based: Pericolo Reale