Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Personalizza le preferenze di consenso

Utilizziamo i cookie per aiutarti a navigare in maniera efficiente e a svolgere determinate funzioni. Troverai informazioni dettagliate su tutti i cookie sotto ogni categoria di consensi sottostanti. I cookie categorizzatati come “Necessari” vengono memorizzati sul tuo browser in quanto essenziali per consentire le funzionalità di base del sito.... 

Sempre attivi

I cookie necessari sono fondamentali per le funzioni di base del sito Web e il sito Web non funzionerà nel modo previsto senza di essi. Questi cookie non memorizzano dati identificativi personali.

  • Cookie
    cookieyes-consent
  • Durata
    1 anno
  • descrizione

    CookieYes imposta questo cookie per ricordare le preferenze di consenso degli utenti in modo che le loro preferenze siano rispettate nelle visite successive a questo sito. Non raccoglie o memorizza alcuna informazione personale sui visitatori del sito.

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

  • Cookie
    language
  • Durata
    1 anno
  • descrizione
    Questo cookie viene utilizzato per memorizzare la preferenza linguistica dell'utente.
  • Cookie
    post_viewed_
  • Durata
    1 ora
  • descrizione

    Questo cookie impedisce che una singola visita ad un articolo venga conteggiata più volte all'aggiornamento della pagina.

I cookie analitici vengono utilizzati per comprendere come i visitatori interagiscono con il sito Web. Questi cookie aiutano a fornire informazioni sulle metriche di numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

  • Cookie
    _ga_*
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookies per contare i visitatori della pagina

  • Cookie
    _ga
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookie per calcolare i dati di visitatori, sessioni e campagne e tracciare l'utilizzo del sito per il report analitico del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.

I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici di prestazione chiave del sito Web che aiutano a fornire ai visitatori un'esperienza utente migliore.

Nessun cookie da visualizzare.

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci pubblicitari personalizzati in base alle pagine visitate in precedenza e per analizzare l'efficacia della campagna pubblicitaria.

Nessun cookie da visualizzare.

Minacce

Rootkit: cosa sono, come individuarli e come rimuoverli 

Proteggere il proprio sistema da accessi non autorizzati e minacce nascoste

Si installano nel firmware di un dispositivo

28 Marzo 2025

Indice dei contenuti

  • Cosa sono i rootkit e come funzionano 
  • Come si diffondono i rootkit 
  • Come rilevare un rootkit 
  • Come rimuovere un rootkit dal sistema 

I rootkit rappresentano una delle minacce informatiche più insidiose, capaci di garantire ai criminal hacker il controllo remoto di un PC o di uno smartphone senza che l’utente se ne accorga. Si tratta di strumenti software progettati per ottenere i privilegi di amministratore su un sistema, permettendo l’esecuzione di attività illecite, dall’intercettazione dei dati all’installazione di malware più pericolosi. 

Data la loro natura furtiva, i rootkit sono difficili da individuare e spesso non vengono rilevati dai comuni antivirus. In questa guida esploreremo in dettaglio cosa sono, come si diffondono, quali segnali possono indicarne la presenza e quali strategie adottare per eliminarli e proteggere i propri sistemi. 

Cosa sono i rootkit e come funzionano 

I rootkit sono una tipologia avanzata di malware progettata per garantire a un attaccante il controllo nascosto di un sistema informatico. Il loro nome deriva dall’unione di root (che nei sistemi Unix/Linux indica l’utente con i privilegi massimi) e kit (un insieme di strumenti). 

Un rootkit può essere utilizzato per molteplici scopi malevoli: 

  • Eseguire operazioni nascoste
    Un criminal hacker può spiare le attività dell’utente, intercettare password e registrare sequenze di tasti digitati. 
  • Nascondere altri malware
    Spesso i rootkit sono progettati per occultare la presenza di virus, trojan o spyware. 
  • Disattivare strumenti di sicurezza
    Molti rootkit riescono a disabilitare antivirus, firewall e altri software di protezione. 
  • Creare accessi segreti
    Possono installare backdoor per consentire l’accesso remoto ai cybercriminali senza che la vittima se ne accorga. 
  • Modificare il sistema operativo
    I rootkit più avanzati alterano file di sistema e processi, rendendo difficile la loro rimozione. 

Una volta installato, il rootkit opera silenziosamente, evitando il rilevamento e garantendo un controllo prolungato dell’infrastruttura colpita. Questo lo rende particolarmente pericoloso, in quanto la vittima potrebbe non accorgersi della sua presenza per mesi o addirittura anni. 

Tipologie di rootkit 

I rootkit si classificano in base al livello di profondità con cui si insediano nel sistema. Più il loro controllo è profondo, più è difficile individuarli e rimuoverli. 

1. Rootkit a livello utente (User-mode rootkit) 

Questi rootkit operano a livello software, modificando processi e file di sistema senza intervenire nel nucleo del sistema operativo. Sono più facili da rilevare rispetto ad altre tipologie, ma comunque pericolosi. 

Esempio
HackerDefender, un noto rootkit per Windows, è in grado di nascondere file, processi e chiavi di registro. 

2. Rootkit a livello kernel (Kernel-mode rootkit) 

Questa categoria è molto più pericolosa, poiché i rootkit operano direttamente nel kernel del sistema operativo, ottenendo privilegi amministrativi elevati. Essendo in esecuzione a un livello così profondo, possono alterare il comportamento del sistema e nascondersi in modo estremamente efficace. 

Esempio
Rustock, un rootkit progettato per trasformare i PC infetti in botnet per inviare spam senza che gli utenti ne fossero a conoscenza. 

3. Rootkit firmware (Firmware rootkit) 

Si installano direttamente nel firmware di un dispositivo, come BIOS, UEFI, schede di rete o router. Questa tipologia è particolarmente persistente: resiste alla formattazione del disco e può riattivarsi anche dopo una reinstallazione del sistema operativo. 

Esempio
Lo spyware “LoJax” è stato il primo rootkit UEFI noto al pubblico, progettato per infettare i firmware dei PC Windows. 

4. Rootkit virtuali (Virtual rootkit) 

Questi rootkit creano un ambiente virtuale nascosto in cui il sistema operativo della vittima viene eseguito, senza che l’utente se ne accorga. Tutte le operazioni avvengono all’interno della macchina virtuale controllata dal malware, rendendo la sua individuazione ancora più difficile. 

Esempio
SubVirt, sviluppato nei laboratori Microsoft e Università del Michigan, ha dimostrato come i rootkit virtuali possano essere una minaccia reale. 

5. Rootkit per dispositivi mobili 

Anche gli smartphone non sono immuni dai rootkit. I dispositivi Android e iOS possono essere compromessi da malware che si nascondono nel sistema e consentono agli hacker di intercettare chiamate, messaggi e dati sensibili. 

Esempio
DroidKungFu è un rootkit Android che sfrutta vulnerabilità nel sistema per ottenere accesso root e controllare il dispositivo. 

Come i rootkit eludono il rilevamento 

I rootkit sono progettati per evitare di essere scoperti e possono utilizzare diverse tecniche per rimanere invisibili: 

  • Modifica dei processi di sistema
    Nascondono i propri file e processi dal Task Manager o da strumenti di monitoraggio. 
  • Alterazione del registro di sistema
    Cambiano chiavi di registro per impedire la loro rimozione. 
  • Intercettazione delle chiamate di sistema
    Falsificano i dati restituiti dal sistema operativo per nascondere la loro presenza. 
  • Disattivazione degli strumenti di sicurezza
    Chiudono o disabilitano software antivirus e firewall. 

Queste caratteristiche rendono i rootkit estremamente difficili da individuare e necessitano di strumenti specializzati per il rilevamento e la rimozione. 

Evoluzione dei rootkit: dalle prime versioni alle minacce moderne 

I rootkit non sono una minaccia recente: la loro storia risale agli anni ‘90, quando vennero sviluppati i primi strumenti per ottenere accesso non autorizzato ai sistemi Unix

  • Anni ‘90
    I primi rootkit erano relativamente semplici e venivano utilizzati per modificare file di sistema e ottenere accesso remoto ai computer Unix. 
  • Anni 2000
    I rootkit iniziano a diffondersi anche su Windows, con l’arrivo di minacce come HackerDefender e Sony BMG Rootkit, che nascondeva software DRM nei CD musicali. 
  • Anni 2010-2020
    Nascono i rootkit firmware, sempre più sofisticati e difficili da rimuovere, come LoJax e MoonBounce
  • Futuro
    Con l’aumento dell’Intelligenza Artificiale, i rootkit potrebbero diventare ancora più difficili da individuare, sfruttando tecniche avanzate per adattarsi agli strumenti di sicurezza. 

Come si diffondono i rootkit 

I rootkit possono infiltrarsi nei sistemi informatici attraverso molteplici vettori di attacco, spesso sfruttando vulnerabilità esistenti o l’inganno per ingannare gli utenti a installarli inconsapevolmente.

Poiché il loro obiettivo è nascondersi e operare in modo furtivo, le tecniche di diffusione sono progettate per garantire massima persistenza e minima rilevabilità

1. Download di software infetti e drive-by download 

Uno dei metodi più comuni con cui i rootkit vengono distribuiti è l’installazione involontaria di software infetti. Questo può avvenire attraverso: 

  • Programmi contraffatti
    Il rootkit viene incluso in software apparentemente legittimi, spesso distribuiti tramite siti non ufficiali. 
  • Software pirata e crack
    Molte applicazioni piratate contengono malware, inclusi rootkit, per garantire all’attaccante accesso continuo al dispositivo della vittima. 
  • Aggiornamenti software fasulli
    Alcuni rootkit si mascherano da aggiornamenti di sicurezza o di sistema per convincere l’utente a installarli. 
  • Drive-by download
    Basta visitare un sito web compromesso affinché un rootkit venga scaricato ed eseguito senza che l’utente debba fare nulla. 

Esempio
Nel 2005, Sony BMG fu coinvolta in uno scandalo quando si scoprì che alcuni suoi CD musicali installavano clandestinamente un rootkit sui PC Windows degli utenti, rendendo il sistema vulnerabile ad attacchi esterni. 

2. Allegati email malevoli e phishing 

Il phishing rimane uno dei metodi più efficaci per diffondere malware, incluso i rootkit. Gli hacker inviano email fraudolente che spingono la vittima a: 

  • Aprire allegati infetti
    Documenti Word, PDF o file ZIP contenenti codice malevolo che installa il rootkit. 
  • Cliccare su link dannosi
    I collegamenti possono indirizzare l’utente su siti compromessi che scaricano automaticamente il rootkit sul sistema. 
  • Eseguire macro infette
    Alcuni rootkit vengono attivati tramite macro VBA integrate in documenti Office, ingannando l’utente ad abilitarle. 

Esempio
Il rootkit Zacinlo, diffuso attraverso campagne di phishing, si nascondeva in software apparentemente legittimi e si attivava dopo il riavvio del sistema, rendendo molto difficile la sua individuazione. 

3. Dispositivi USB e supporti di memoria infetti 

I rootkit possono diffondersi anche attraverso chiavette USB, hard disk esterni e schede di memoria infette. Questo metodo è particolarmente efficace nei contesti aziendali, dove i dipendenti potrebbero collegare dispositivi sconosciuti ai computer aziendali. 

Le tecniche di infezione tramite USB includono: 

  • Autorun.inf
    Alcuni rootkit sfruttano il meccanismo di autoesecuzione di Windows per installarsi automaticamente. 
  • Attacco BadUSB
    Hacker modificano il firmware di una chiavetta USB per farla apparire come una tastiera o un altro dispositivo di input, eseguendo comandi malevoli senza che l’utente possa impedirlo. 
  • File camuffati
    Il rootkit può essere nascosto in file apparentemente innocui, come immagini o documenti PDF, pronti per attivarsi appena aperti. 

Esempio
Stuxnet, un famigerato worm informatico, utilizzava una combinazione di exploit Windows e chiavette USB infette per diffondersi nei sistemi industriali, colpendo le centrali nucleari iraniane. ù

4. Vulnerabilità nei sistemi operativi e nei software 

Molti rootkit sfruttano falle di sicurezza nei sistemi operativi o nei software per installarsi senza bisogno di interazione umana. Questo metodo è particolarmente pericoloso perché consente l’installazione silenziosa del malware, spesso senza che l’utente se ne accorga. 

Le vulnerabilità più sfruttate includono: 

  • Bug nel kernel del sistema operativo
    Alcuni rootkit operano a livello kernel, sfruttando vulnerabilità per ottenere privilegi di amministratore
  • Exploit nei driver di periferiche
    Stampanti, schede di rete e altri dispositivi possono contenere falle che permettono l’esecuzione di codice malevolo. 
  • Patch di sicurezza non installate
    I dispositivi non aggiornati sono un bersaglio ideale per i cybercriminali, che possono usare exploit conosciuti per installare rootkit. 

Esempio
Il rootkit Necurs sfruttava una vulnerabilità nei sistemi Windows per installarsi a livello kernel e rimanere persistente anche dopo il riavvio del sistema. 

5. Exploit nei browser e nei plugin 

Molti rootkit si diffondono sfruttando vulnerabilità nei browser e nei loro plugin, come Flash, Java o PDF Reader. Questi attacchi avvengono tipicamente tramite: 

  • Siti web compromessi
    L’attaccante inserisce codice malevolo nelle pagine web per sfruttare falle del browser e installare il rootkit. 
  • Download automatico di exploit
    Alcuni siti sfruttano vulnerabilità del browser per scaricare e installare il malware senza bisogno di autorizzazioni. 
  • Attacchi via pubblicità online (malvertising)
    Banner pubblicitari infetti possono reindirizzare l’utente su pagine che distribuiscono rootkit. 

Esempio
Il rootkit FinFisher, noto per essere utilizzato per la sorveglianza, si diffondeva tramite exploit nei browser per infettare i dispositivi delle vittime. 

6. Aggiornamenti software compromessi 

Gli hacker possono compromettere i server di aggiornamento di software legittimi per distribuire rootkit all’interno di aggiornamenti ufficiali. Questo metodo è particolarmente insidioso, poiché le vittime installano il rootkit inconsapevolmente, fidandosi del fornitore del software. 

Esempio
Nel 2017, il caso CCleaner ha visto un aggiornamento ufficiale del popolare software per la pulizia dei PC infettato con un malware rootkit, compromettendo oltre 2 milioni di dispositivi

Reinstallazione completa del sistema operativo

Come rilevare un rootkit 

I rootkit sono tra le minacce più insidiose del panorama informatico: progettati per nascondersi e operare in modo furtivo, rendono il loro rilevamento estremamente difficile. Poiché possono manipolare processi, file di sistema e strumenti di sicurezza, spesso sfuggono alle normali scansioni antivirus.

Tuttavia, esistono metodi avanzati per individuarli, basati su analisi dei sintomi, utilizzo di tool specializzati e tecniche di rilevamento forense

1. Segnali che indicano la possibile presenza di un rootkit 

Prima di ricorrere a strumenti avanzati, è utile prestare attenzione a comportamenti anomali del sistema, che possono suggerire un’infezione da rootkit. Alcuni sintomi comuni includono: 

Rallentamenti improvvisi e calo delle prestazioni 

Un PC o uno smartphone infettato potrebbe diventare più lento senza una spiegazione apparente, poiché il rootkit utilizza risorse del sistema per eseguire processi nascosti. 

Esempio
Il rootkit può intercettare connessioni di rete per trasferire dati a un hacker remoto, rallentando la velocità di navigazione. 

Malfunzionamenti inspiegabili del sistema 

  • il computer si riavvia da solo o si spegne senza motivo;
  • alcuni file o impostazioni di sistema vengono modificati senza intervento dell’utente;
  • il mouse o la tastiera sembrano rispondere in modo anomalo. 

Esempio
Alcuni rootkit possono disattivare antivirus e firewall, impedendo all’utente di riattivarli. 

Comparsa di processi sconosciuti o attività sospette 

Se nel Task Manager (Windows) o nel Monitoraggio Attività (macOS) compaiono processi con nomi insoliti o sconosciuti, potrebbe trattarsi di un rootkit attivo

Esempio
Alcuni rootkit si camuffano con nomi simili a quelli dei processi di sistema per non destare sospetti (esempio: svch0st.exe invece di svchost.exe). 

Log di sistema alterati o cancellati 

I rootkit avanzati possono cancellare o modificare i log di sistema, in modo da eliminare ogni traccia della loro attività. Se i registri di sistema risultano inaccessibili o corrotti, potrebbe esserci un’infezione. 

Esempio
Se i log di Windows Event Viewer o i file di registro di Linux mostrano buchi temporali o sono stati cancellati, è un segnale sospetto. 

Problemi con la connessione di rete 

  • connessione a Internet che si interrompe frequentemente;
  • elevato traffico di rete senza un motivo apparente;
  • connessioni attive verso server sconosciuti o indirizzi IP sospetti. 

Esempio
Il rootkit può trasformare il PC in parte di una botnet per inviare spam o partecipare ad attacchi DDoS

2. Strumenti avanzati per rilevare i rootkit 

I rootkit sono progettati per evitare il rilevamento da parte dei normali antivirus. Per questo motivo, esistono scanner specializzati in grado di individuarli analizzando i file di sistema, la memoria e il kernel. 

Strumenti per Windows

  • GMER
    Uno dei tool più efficaci per rilevare rootkit a livello kernel. Analizza i processi in esecuzione e verifica le anomalie nel registro di sistema. 
  • Malwarebytes Anti-Rootkit
    Scanner efficace per eliminare rootkit user-mode e kernel-mode
  • Microsoft Defender Offline
    Scansione avanzata che rileva rootkit prima che Windows si avvii. 

Strumenti per Linux 

  • Chkrootkit
    Controlla file di sistema e processi attivi per rilevare rootkit noti. 
  • Rkhunter (Rootkit Hunter)
    Scanner avanzato che analizza librerie, binari e impostazioni di sistema per individuare anomalie. 
  • Lynis
    Strumento di auditing della sicurezza che può rilevare attività sospette legate ai rootkit. 

Strumenti per macOS 

  • KnockKnock
    Identifica applicazioni persistenti che potrebbero essere rootkit. 
  • ESET Rootkit Detector
    Rileva modifiche sospette nei file di sistema di macOS. 

Suggerimento: Per migliorare l’efficacia della scansione, esegui questi strumenti in modalità provvisoria, riducendo così la capacità del rootkit di nascondersi. 

3. Tecniche avanzate di rilevamento rootkit 

Oltre all’uso di software dedicato, esistono tecniche più avanzate utilizzate dai professionisti della sicurezza informatica per identificare rootkit più sofisticati. 

Confronto tra scansioni online e offline 

Poiché molti rootkit modificano la visualizzazione dei processi attivi, una strategia efficace è confrontare i risultati di una scansione effettuata: 

  • Da un sistema in esecuzione
    Utilizzando strumenti come Task Manager o Process Explorer
  • Da un sistema esterno o offline
    Avviando il PC da un Live CD/USB Linux (es. Ubuntu) e confrontando i file di sistema. 

Se alcuni processi compaiono solo quando il sistema è avviato normalmente, potrebbe trattarsi di un rootkit nascosto

Analisi dei file di log di sistema 

Esaminare i log di sistema può rivelare tentativi di manipolazione da parte di un rootkit. Su Windows, è utile controllare: 

  • Event Viewer
    Per cercare errori sospetti o accessi non autorizzati. 
  • Comandi di PowerShell
    (Get-EventLog -LogName System) per analizzare i log di sistema. 

Su Linux, i log da controllare si trovano in /var/log/ e possono essere analizzati con: 

bash 

grep -i "rootkit" /var/log/syslog

Segnale di allarme: Log che vengono cancellati o risultano inaccessibili. 

Monitoraggio dell’attività di rete 

Utilizzando strumenti come Wireshark o Netstat, è possibile identificare connessioni sospette stabilite da un rootkit verso server remoti. 

Esempio di comando per visualizzare connessioni attive su Windows: 

powershell 

netstat -ano | findstr :80

Se compaiono indirizzi sconosciuti o sospetti, potrebbe esserci un rootkit in esecuzione. 

Analisi del Master Boot Record (MBR) 

Alcuni rootkit si insediano nel bootloader del sistema, eseguendosi prima ancora che il sistema operativo si avvii. Per verificare eventuali anomalie: 

In Windows, eseguire questi comandi nel Prompt dei comandi (Admin):

powershell 

bootrec /scanos 

bootrec /fixmbr 

Su Linux, controllare il settore di avvio con: 

bash 

sudo dd if=/dev/sda bs=512 count=1 | hexdump -C

Se compaiono modifiche inaspettate, il sistema potrebbe essere infettato da un rootkit MBR.

L'attivazione del malware

Come rimuovere un rootkit dal sistema 

I rootkit sono tra le minacce più difficili da rimuovere, poiché sono progettati per nascondersi profondamente nel sistema e resistere alle normali operazioni di pulizia.

Alcuni possono modificare file di sistema, disattivare antivirus, alterare il bootloader o persino infettare il firmware del dispositivo, rendendo inefficace una semplice scansione antivirus. 

Per eliminare un rootkit in modo sicuro, è necessario adottare un approccio metodico, combinando strumenti specializzati, ripristini di sistema e, nei casi più gravi, una reinstallazione completa del sistema operativo. 

1. Identificare il tipo di rootkit prima della rimozione 

Prima di procedere alla rimozione, è importante capire dove si trova il rootkit e a quale categoria appartiene. Le strategie di eliminazione variano in base alla tipologia: 

  • User-mode rootkit
    Più facili da individuare e rimuovere, poiché operano come processi normali. 
  • Kernel-mode rootkit
    Molto più difficili da rimuovere, poiché operano a livello del kernel del sistema operativo. 
  • Firmware rootkit
    Resistono alla formattazione e richiedono l’aggiornamento del BIOS/UEFI. 
  • Bootkit (MBR rootkit)
    Si insediano nel Master Boot Record (MBR) e possono impedire l’avvio del sistema. 

Se non sei sicuro del tipo di rootkit presente nel tuo sistema, puoi utilizzare strumenti come GMER, TDSSKiller o Rkhunter per rilevare dove si trova il malware. 

2. Avviare il sistema in modalità provvisoria 

Molti rootkit non si attivano in modalità provvisoria (Safe Mode), rendendo più facile la loro individuazione e rimozione. 

Come avviare Windows in modalità provvisoria 

  1. premi Win + R, digita msconfig e premi Invio
  1. vai alla scheda Opzioni di avvio e seleziona Modalità provvisoria con rete;
  1. riavvia il sistema. 

Come avviare Linux in modalità di recupero 

  1. riavvia il sistema e accedi al menu GRUB;
  1. seleziona Advanced Options for Ubuntu e scegli Recovery Mode;
  1. usa il terminale per eseguire scansioni (sudo chkrootkit o sudo rkhunter -c).

Dalla modalità provvisoria, utilizza un antivirus o un tool anti-rootkit per scansionare il sistema. 

3. Usare strumenti anti-rootkit specializzati 

Gli antivirus tradizionali spesso non rilevano i rootkit, quindi è necessario utilizzare software dedicati

Migliori strumenti per rimuovere rootkit su Windows 

  • GMER
    Scansiona e rimuove rootkit nascosti a livello kernel. 
  • Malwarebytes Anti-Rootkit
    Individua e rimuove rootkit avanzati. 
  • Microsoft Defender Offline
    Scansione approfondita prima dell’avvio di Windows. 

Migliori strumenti per rimuovere rootkit su Linux 

  • Chkrootkit
    Scanner per rootkit user-mode. 
  • Rootkit Hunter (Rkhunter)
    Controlla anomalie nei file di sistema. 
  • Lynis
    Strumento di auditing per individuare minacce persistenti. 

Migliori strumenti per rimuovere rootkit su macOS 

  • KnockKnock
    Analizza le applicazioni persistenti. 
  • ESET Rootkit Detector
    Rileva alterazioni sospette nei file di sistema. 

Suggerimento: Scarica questi strumenti da un altro PC e trasferiscili su una chiavetta USB per evitare che il rootkit possa interferire con il download o l’installazione. 

4. Eliminare i rootkit manualmente (per utenti avanzati) 

Se gli strumenti automatici non riescono a rimuovere il rootkit, è possibile procedere manualmente eliminando i file sospetti. 

Identificare i file infetti con Process Explorer 

  1. scarica Process Explorer di Microsoft;
  1. controlla i processi in esecuzione: se un file non ha firma digitale o è collegato a un programma sconosciuto, potrebbe essere un rootkit;
  1. termina il processo sospetto e cancella il file associato (se possibile). 

Esempio
Un rootkit può nascondersi come svch0st.exe (falso) invece di svchost.exe (processo legittimo di Windows). 

5. Rimuovere i rootkit dal Master Boot Record (MBR) 

Se il rootkit ha infettato il MBR, impedisce il normale avvio del sistema e deve essere rimosso con comandi specifici. 

Riparare MBR su Windows 

  1. avvia il PC da un supporto di installazione di Windows (USB/DVD);
  1. seleziona Ripristina il computer > Prompt dei comandi;
  1. digita questi comandi uno alla volta;
powershell 

bootrec /fixmbr 

bootrec /fixboot 

bootrec /scanos 

bootrec /rebuildbcd
  1. riavvia il sistema e verifica se il problema è risolto. 

Riparare MBR su Linux 

  1. avvia un Live CD (es. Ubuntu); 
  1. apri il terminale e digita;
bash 

sudo dd if=/dev/zero of=/dev/sda bs=512 count=1 

sudo grub-install --root-directory=/mnt /dev/sda
  1. riavvia il sistema. 

6. Controllare il firmware e ripristinare BIOS/UEFI 

I firmware rootkit sono estremamente resistenti e non vengono rimossi neanche dopo la formattazione. L’unico modo per eliminarli è aggiornare il BIOS/UEFI

Come ripristinare il BIOS/UEFI 

  1. accedi al BIOS premendo F2, F12 o DEL all’avvio;
  1. cerca l’opzione Ripristina impostazioni predefinite (Reset to Default);
  1. se il problema persiste, scarica l’aggiornamento del BIOS dal sito del produttore della scheda madre e installalo. 

Attenzione: L’aggiornamento del BIOS è un’operazione delicata. Se non eseguita correttamente, può rendere il PC inutilizzabile. 

7. Formattare il sistema (soluzione estrema) 

Se il rootkit è particolarmente avanzato e le altre soluzioni non hanno funzionato, l’unica alternativa è formattare completamente il disco e reinstallare il sistema operativo

Passaggi per una formattazione sicura 

1. Backup
Salva solo i file essenziali su un dispositivo esterno, evitando di trasferire file potenzialmente infetti. 

2. Creazione di un supporto di installazione

  • Windows
    Scarica l’ISO ufficiale di Windows da Microsoft
  • Linux
    Scarica una distribuzione affidabile (Ubuntu, Fedora, Debian). 

3. Formattazione completa
Durante l’installazione, scegli “Elimina tutte le partizioni” e crea un nuovo filesystem. 

Importante: Dopo la reinstallazione, aggiorna subito il sistema e installa un buon antivirus per prevenire future infezioni. 

Per concludere 

I rootkit sono tra le minacce informatiche più pericolose e difficili da individuare, in grado di garantire agli hacker un controllo totale e nascosto sui dispositivi colpiti. Riconoscerne la presenza è essenziale per proteggere la propria privacy, i dati sensibili e la sicurezza del sistema

Se sospetti che il tuo PC sia stato compromesso, utilizza scanner anti-rootkit, ripristina i file di sistema e, nei casi più gravi, considera una reinstallazione completa del sistema operativo. La prevenzione è l’arma migliore: naviga in modo sicuro, evita software non affidabili e mantieni aggiornati i tuoi dispositivi. 

Domande e risposte

1. Cosa sono i rootkit e perché sono pericolosi? 

I rootkit sono malware progettati per ottenere accesso nascosto e privilegi amministrativi su un sistema, permettendo agli hacker di controllarlo senza essere rilevati. Sono pericolosi perché possono rubare dati sensibili, nascondere altri virus, disattivare antivirus e compromettere la sicurezza del sistema. 

2. Come si diffondono i rootkit nei computer? 

I rootkit possono infettare un sistema attraverso: 

  • Download di software contraffatti o pirata. 
  • Allegati email infetti e attacchi di phishing. 
  • Siti web compromessi che scaricano il rootkit di nascosto (drive-by download). 
  • Chiavette USB infette o altri dispositivi rimovibili. 
  • Sfruttamento di vulnerabilità di sistema o di software non aggiornati. 

3. Come posso capire se il mio computer è stato infettato da un rootkit? 

I sintomi di un’infezione da rootkit possono includere: 

  • Rallentamenti improvvisi o blocchi frequenti. 
  • Processi sconosciuti in esecuzione nel Task Manager. 
  • Antivirus e firewall disattivati senza motivo. 
  • File di sistema modificati o cancellati. 
  • Connessioni di rete sospette verso server sconosciuti. 
  • Log di sistema corrotti o alterati. 

4. Gli antivirus normali possono rilevare e rimuovere i rootkit? 

No, i rootkit sono progettati per nascondersi dai normali antivirus. Per individuarli e rimuoverli, è necessario utilizzare scanner specializzati come GMER, Malwarebytes Anti-Rootkit o Rkhunter per Linux. 

5. Qual è il metodo migliore per rimuovere un rootkit? 

La rimozione dipende dal tipo di rootkit: 

  • Avviare il PC in modalità provvisoria per impedire l’attivazione del malware. 
  • Utilizzare strumenti anti-rootkit specializzati per identificare e rimuovere la minaccia. 
  • Riparare il Master Boot Record (MBR) se il rootkit ha infettato il bootloader. 
  • Aggiornare il BIOS/UEFI nel caso di rootkit firmware. 
  • Formattare il disco e reinstallare il sistema operativo nei casi più gravi. 

6. Come posso proteggere il mio sistema dai rootkit? 

Per prevenire le infezioni da rootkit, segui queste buone pratiche: 

  • Scarica software solo da fonti ufficiali. 
  • Mantieni aggiornato il sistema operativo e i programmi. 
  • Non aprire email sospette o allegati non richiesti. 
  • Evita chiavette USB di origine sconosciuta. 
  • Installa un buon antivirus con protezione anti-rootkit. 
  • Utilizza un firewall per monitorare le connessioni in uscita. 

7. Un rootkit può infettare anche smartphone e tablet? 

Sì, esistono rootkit per dispositivi mobili, in particolare per Android e iOS. Questi malware possono intercettare chiamate, rubare dati e registrare le attività dell’utente. Si diffondono tramite app scaricate da store non ufficiali, vulnerabilità di sistema o link dannosi. 

8. Se formatto il mio computer, il rootkit viene eliminato? 

Dipende dal tipo di rootkit: 

  • Rootkit software
    Sì, una formattazione completa rimuove il malware. 
  • Bootkit (MBR rootkit)
    No, è necessario riparare il bootloader con comandi specifici. 
  • Rootkit firmware (BIOS/UEFI)
    No, è necessario aggiornare il firmware per eliminarlo. 

9. Esistono rootkit per Mac e Linux o colpiscono solo Windows? 

Sebbene Windows sia il bersaglio principale, anche macOS e Linux possono essere infettati. 

  • Su macOS, rootkit come OSX/Morcut hanno dimostrato la vulnerabilità del sistema. 
  • Su Linux, strumenti come Rootkit Hunter (rkhunter) e Chkrootkit sono essenziali per individuare infezioni. 

10. Ho eliminato un rootkit, ma il mio sistema è ancora instabile. Cosa devo fare? 

Se il sistema continua a comportarsi in modo anomalo dopo la rimozione del rootkit: 

  • Esegui una scansione con più strumenti anti-rootkit per assicurarti che non ci siano residui. 
  • Ripristina i file di sistema danneggiati con comandi come sfc /scannow (Windows). 
  • Analizza le connessioni di rete per verificare che il rootkit non abbia lasciato backdoor. 
  • Considera una reinstallazione pulita del sistema operativo per una sicurezza totale. 
4
To top