Rootkits - Rkunter - Falsos positivos?

Olá a todos. Estive me questionando esses dias se meu computador possui algum rootkit ou não, pois nunca havia verificado esse tipo de coisa. Resolvi esses dias verificar principalmente porque estava usando um derivado do Arch, o Arco linux, que como toda distro baseada em Arch não tem, pelo menos a princípio, como instalar via secure boot. Não aconteceu nada de estranho no meu sistema propriamente, a única coisa que não sei se é normal ou não foi ele ter começado a atualizar alguns repositórios na inicialização do sistema, mas eu desliguei o computador por não saber se era normal ou não(se alguém usa aí o Arco ou o Arch, por favor me diga)

Eu li que uma das funções do secure boot é proteger o sistema de rootkits, que podem, em piores casos, até infectar a placa mãe do computador.

Pesquisei algumas ferramentas de análise e encontrei o chkrootkit e o rkhunter. Fiz análises com ambos e algo me chamou a atenção: o rkhunter sempre tem resultados voláteis, ora diz que há um possível rootkit, ora diz que tem 2, 4, 7, 14. O resultado fica variando o tempo todo.

Fora isso há um outro problema, eu rodei no Ubuntu bugie e os suspeitos “rootkits” são sempre o bugie-panel, o nemo-desktop e o firefox(se ele estiver aberto). Vou postar aqui a análise e algumas screenshots.

Eu não sei como posso compartilhar o relatório do rkhunter com vocês.

Captura de tela de 2021-03-04 12-01-49

Alguém sabe se isso é falso positivo ou se é mesmo algo que eu deva me preocupar?

Desde já agradeço.

Não dá para saber, os processos parecem ter nomes de softwares legítimos, mas uma tática conhecida dos malwares são usar nome de softwares conhecidos. Isso é mais comum no Windows, com falsos calc.exe, explorer.exe, etc.

O Budgie é a interface e o Nemo é o gerenciador de arquivos.

Mas os processos estão na /usr, se você não usou root com algo suspeito, teoricamente são processos legítimos.

1 Curtida

Fiz mais um scan com o rkhunter e os resultados foram:

Captura de tela de 2021-03-04 15-22-46

Dessa vez eu estava usando o firefox e o inkscape.

Dei uma olhada no Google sobres avisos e sem exceção, todos os casos que eu li eram falsos positivos (ou, para ser paranoico, o rootkit se disfarçou de um processo que plausivelmente usaria bastante esse recurso).

O Firefox usa memória compartilhada para se comunicar com os processos separados de cada aba, o servidor Apache para comunicar com processos separados de cada worker, o GIMP, o Inkscape e companhia se comunicam com processos que gerenciam plugins.

Ou seja, o módulo que causa esses avisos programa simplesmente aponta o dedo pra qualquer processo que se comunica com outro processo e diz “Isso é meio suspeito”.

3 Curtidas

Eu fiz uns testes e removi o diretório do nemo-desktop e o gerenciador de arquivos continuou funcionando. O inkspace só aparece nesses alertas quando aberto. Também removi o diretório do budgie-panel, mas ele era o programa autêntico mesmo, então o painel de navegação sumiu.

Os ícones e o botão direito na área de trabalho continuaram funcionando?

Essa barra sumiu. Só sobrou o plank.

Após remover algumas coisas e manter o firefox fechado(e o inkscape também):

Captura de tela de 2021-03-04 21-05-41