Olá a todos. Estive me questionando esses dias se meu computador possui algum rootkit ou não, pois nunca havia verificado esse tipo de coisa. Resolvi esses dias verificar principalmente porque estava usando um derivado do Arch, o Arco linux, que como toda distro baseada em Arch não tem, pelo menos a princípio, como instalar via secure boot. Não aconteceu nada de estranho no meu sistema propriamente, a única coisa que não sei se é normal ou não foi ele ter começado a atualizar alguns repositórios na inicialização do sistema, mas eu desliguei o computador por não saber se era normal ou não(se alguém usa aí o Arco ou o Arch, por favor me diga)
Eu li que uma das funções do secure boot é proteger o sistema de rootkits, que podem, em piores casos, até infectar a placa mãe do computador.
Pesquisei algumas ferramentas de análise e encontrei o chkrootkit e o rkhunter. Fiz análises com ambos e algo me chamou a atenção: o rkhunter sempre tem resultados voláteis, ora diz que há um possível rootkit, ora diz que tem 2, 4, 7, 14. O resultado fica variando o tempo todo.
Fora isso há um outro problema, eu rodei no Ubuntu bugie e os suspeitos “rootkits” são sempre o bugie-panel, o nemo-desktop e o firefox(se ele estiver aberto). Vou postar aqui a análise e algumas screenshots.
Eu não sei como posso compartilhar o relatório do rkhunter com vocês.
Não dá para saber, os processos parecem ter nomes de softwares legítimos, mas uma tática conhecida dos malwares são usar nome de softwares conhecidos. Isso é mais comum no Windows, com falsos calc.exe, explorer.exe, etc.
O Budgie é a interface e o Nemo é o gerenciador de arquivos.
Mas os processos estão na /usr, se você não usou root com algo suspeito, teoricamente são processos legítimos.
Dei uma olhada no Google sobres avisos e sem exceção, todos os casos que eu li eram falsos positivos (ou, para ser paranoico, o rootkit se disfarçou de um processo que plausivelmente usaria bastante esse recurso).
Ou seja, o módulo que causa esses avisos programa simplesmente aponta o dedo pra qualquer processo que se comunica com outro processo e diz “Isso é meio suspeito”.
Eu fiz uns testes e removi o diretório do nemo-desktop e o gerenciador de arquivos continuou funcionando. O inkspace só aparece nesses alertas quando aberto. Também removi o diretório do budgie-panel, mas ele era o programa autêntico mesmo, então o painel de navegação sumiu.
Warning: Suspicious file types found in /dev:
/dev/shm/wimtxwdm203r-215565142: data
/dev/shm/sem.WS_NBE145A3B: data
/dev/shm/wimtxWS_N7A1E44B1: data
/dev/shm/wiuser: very short file (no magic)
/dev/shm/sem.WS_N7DA0CBA2: data
/dev/shm/wiservice: very short file (no magic)
/dev/shm/wimtxWS_N16F4F95B: data
/dev/shm/wimtxWS_N1D1A924E: data
Warning: Hidden directory found: /etc/.java
Para mim o sinal de alerta mais doido é o que está em negrito. Porque existem muitos outros processos com esse caminho /usr/libexec/csd [outros nomes], mas o Rkhunter só aponta como suspeito o que ressaltei.
Outro muito doido é o /etc/.java, e eu tenho um programa da Receita Federal recém instalado no PC, instalei executando um binário via terminal. E TODOS os programas da Receita Federal tem linguagem JAVA na elaboração.
Não excluí nenhum dos arquivos passíveis de serem removidos por receio de danificar o sistema, e alguns outros da pasta /usr/… não consigo excluir, mas provavelmente porque estou verificando essas situações como usuário normal.