O que são rootkits? Os 10 exemplos mais terríveis (2023)
Par Tibor Moes / Mise à jour : mai 2023
O que é um rootkit?
Imagine que o senhor é proprietário de uma casa e alguém copia secretamente a chave da sua casa, obtendo acesso sempre que quiser, sem o seu conhecimento. No mundo dos computadores, há um invasor semelhante chamado rootkit. Ele é como uma cópia digital da chave de sua casa, fornecendo acesso não autorizado ao seu computador.
Mas não se preocupe, vamos orientá-lo sobre os 10 exemplos de rootkit mais conhecidos, dando-lhe uma ideia de como eles funcionam e como foram usados no passado. Fique conosco enquanto exploramos essas ameaças cibernéticas.
Significado de rootkit: Um rootkit é um malware projetado para dar aos hackers acesso a um dispositivo-alvo. Embora a maioria dos rootkits afete o software e o sistema operacional, alguns também podem infectar o hardware e o firmware do computador.
Não se torne uma vítima do crime cibernético. Proteja seu PC com o melhor antivírus e sua privacidade com a melhor VPN.
Exemplos de rootkits
Esses são os exemplos mais terríveis de rootkits de todos os tempos:
- NTRootKit (1999): Uma das primeiras formas de rootkits, o NTRootKit foi uma criação russa que se infiltrou nos sistemas Windows em todo o mundo. Ele comprometeu vários tipos de dados pessoais, criando uma onda de preocupação com a segurança digital.
- Rootkit de proteção contra cópia da Sony BMG (2005): Em uma tentativa equivocada de evitar a violação de direitos autorais, a Sony BMG incorporou um rootkit em milhões de CDs de música. Esse rootkit expôs involuntariamente os sistemas dos consumidores a possíveis vulnerabilidades de segurança, levando a uma queda financeira significativa para a Sony.
- FuTo Rootkit (2006): Esse rootkit furtivo explorou o mecanismo de assinatura de driver do Windows para se ocultar, tendo como alvo indivíduos e empresas em todo o mundo. Ele serviu como um forte lembrete da evolução contínua das ameaças cibernéticas.
- Rustock Rootkit (2006): O Rustock Rootkit transformou computadores pessoais em máquinas de envio de e-mails de spam, afetando milhões de computadores em todo o mundo. Isso ressaltou a importância de manter o software atualizado e de ter filtros de spam robustos.
- Mebroot Rootkit (2007): O Mebroot Rootkit assumiu o controle do processo de inicialização de um computador, infectando indivíduos e empresas. Sua descoberta levou a um maior foco na proteção do processo de inicialização.
- Stuxnet Rootkit (2010): Visando os sistemas de controle industrial, especialmente as instalações nucleares do Irã, o Stuxnet Rootkit foi provavelmente patrocinado pelo Estado. Ele demonstrou o potencial das ameaças cibernéticas de afetar a infraestrutura essencial.
- Rootkit Alureon/TDL-4 (2011): O Alureon, um rootkit avançado, interrompeu sistemas em todo o mundo, comprometendo uma ampla gama de dados. Ele destacou a sofisticação cada vez maior das ameaças cibernéticas.
- ZeroAccess Rootkit (2011): O ZeroAccess rootkit foi usado para fraudes de cliques e mineração de Bitcoin, causando interrupções significativas e perdas financeiras. Isso ressaltou a necessidade de vigilância contínua contra diversas ameaças cibernéticas.
- Flame Rootkit (2012): O Flame Rootkit era uma ferramenta de espionagem cibernética voltada para países do Oriente Médio. Sua descoberta levou a um foco renovado na proteção de sistemas contra ameaças sofisticadas.
- Uroburos Rootkit (2014): O Uroburos Rootkit tinha como alvo instituições de alto perfil para roubo de dados. A descoberta desse rootkit avançado levou a uma maior ênfase na segurança dos sistemas, especialmente nas organizações que lidam com dados confidenciais.
Continue lendo para obter mais detalhes sobre cada exemplo de rootkit.
- NTRootKit
O intruso digital de 1999
No último ano do século XX, enquanto o mundo se preparava para o bug do Y2K, outra ameaça digital estava à solta. Originário da Rússia, o NTRootKit foi uma das primeiras formas de rootkits, projetado para se infiltrar discretamente nos sistemas Windows, ocultar processos e arquivos sem ser detectado. É difícil precisar a duração de seu reinado, pois ele funcionava nas sombras, mas foi descoberto em 1999.
Embora o número exato de pessoas afetadas permaneça desconhecido, o NTRootKit visou usuários individuais em todo o mundo, causando uma onda de paranoia sobre a segurança dos dados pessoais. O rootkit não fazia distinção entre os tipos de dados, comprometendo desde fotos pessoais até informações financeiras.
O escopo global do impacto desse rootkit foi um alerta para muitos sobre os perigos que se escondem no espaço cibernético. Embora não tenha havido nenhum dano financeiro direto atribuído ao NTRootKit, a possibilidade de uso indevido de dados pessoais foi uma preocupação significativa.
Quanto às contramedidas, foi o desenvolvimento de novos softwares e tecnologias antivírus que acabou reduzindo a influência do NTRootKit. E, embora as consequências não tenham tido consequências legais específicas devido ao anonimato dos criminosos, isso levou a uma maior ênfase na segurança cibernética e na necessidade de defesas digitais mais fortes.
- Rootkit de proteção contra cópia da Sony BMG
Uma melodia de malware em 2005
Seis anos depois, em 2005, a gigante mundial da música Sony BMG, sem querer, tocou uma música diferente com seu rootkit de proteção contra cópia. Não se tratava de um caso de criminosos cibernéticos em ação, mas de uma tentativa equivocada de impedir a violação de direitos autorais pela Sony. A empresa incorporou um rootkit em milhões de CDs de música vendidos em todo o mundo. Quando os clientes reproduziam esses CDs em seus computadores, o rootkit se instalava, abrindo os sistemas para possíveis vulnerabilidades de segurança.
O rootkit afetou os consumidores em todo o mundo, levando a um protesto internacional. O número exato de pessoas afetadas é difícil de determinar, mas com milhões de CDs distribuídos, a escala foi considerável. Os dados comprometidos eram principalmente pessoais, pois o rootkit permitia que qualquer hacker experiente obtivesse acesso a um sistema infectado.
As consequências financeiras foram significativas para a Sony. A empresa enfrentou várias ações judiciais coletivas, que resultaram em milhões em acordos. Ela também foi forçada a fazer o recall dos CDs afetados, causando mais perdas financeiras e prejudicando a reputação da empresa.
As contramedidas foram as empresas de antivírus que atualizaram seus softwares para detectar e remover o rootkit da Sony. A Sony também lançou um patch para desinstalar o rootkit, embora inicialmente ele tenha causado mais problemas do que resolvido. Na sequência, a reação do público e as consequências legais levaram a uma mudança notável na abordagem do setor musical em relação ao gerenciamento de direitos digitais. O incidente do rootkit da Sony serve como um lembrete de que nem todas as ameaças se originam de cantos obscuros da Internet; às vezes, elas vêm dos lugares mais inesperados.
- FuTo Rootkit
O sabotador furtivo de 2006
O ano de 2006 trouxe consigo um novo nível de astúcia no mundo das ameaças cibernéticas. O FuTo Rootkit, um invasor insidioso que explorou o mecanismo de assinatura de driver do Windows para se ocultar, entrou em cena. Esse vilão virtual não estava associado a um indivíduo ou grupo específico, o que só aumentou o mistério e o medo em torno dele.
Esse rootkit tinha como alvo indivíduos e empresas, e seu alcance global não se limitava a uma região específica. O número exato de pessoas afetadas foi difícil de quantificar, mas a natureza furtiva desse rootkit significava que ele poderia se infiltrar em muitos sistemas sem ser detectado. Os dados comprometidos variaram muito, pois o FuTo forneceu um backdoor para outros malwares, expondo potencialmente informações pessoais e financeiras.
Embora seja difícil determinar os danos financeiros, o potencial de uso indevido de dados e o custo dos esforços de mitigação teriam sido significativos. A resposta ao rootkit FuTo fez com que as empresas de antivírus intensificassem seu trabalho, desenvolvendo novos métodos para detectar e erradicar esse intruso furtivo.
O FuTo Rootkit serviu como um lembrete da evolução contínua das ameaças cibernéticas, enfatizando a importância de manter medidas e práticas de segurança atualizadas.
- Rootkit Rustock
A supertempestade de spam de 2006
Também em 2006, uma tempestade cibernética diferente estava se formando. O Rustock Rootkit, uma criação de uma entidade desconhecida, estava entrando em computadores de todo o mundo. Sua missão? Criar um exército de máquinas capazes de enviar e-mails de spam, transformando computadores pessoais em cúmplices involuntários.
O Rustock Rootkit não era exigente com relação às suas vítimas, tendo como alvo indivíduos e empresas. Era uma ameaça global, com seus e-mails de spam enchendo as caixas de entrada de Nova York a Nova Delhi. A natureza dos dados comprometidos era geralmente menos sensível, pois o objetivo principal do Rustock era enviar spam. No entanto, a grande escala da operação foi avassaladora, com milhões de computadores afetados, segundo estimativas.
Embora seja difícil determinar os valores das perdas financeiras diretas, o custo em termos de perda de tempo e aumento do tráfego de rede foi substancial. Sem mencionar que o rootkit era notoriamente difícil de detectar e remover, muitas vezes exigindo a intervenção de um especialista.
As contramedidas para o Rustock foram um esforço combinado de pesquisadores de segurança e autoridades policiais. Em 2011, um esforço coordenado liderado pela Microsoft resultou na derrubada do botnet Rustock. Essa operação marcou uma vitória significativa na batalha contra os rootkits e serviu de modelo para futuras derrubadas de botnets.
O Rustock Rootkit ressaltou a importância de manter o software atualizado e de ter filtros de spam robustos. Ele também serviu como um lembrete de que até mesmo e-mails de spam aparentemente inocentes podem ser um sinal de uma invasão mais séria.
- Mebroot Rootkit
O bandido do setor de inicialização de 2007
O ano de 2007 trouxe consigo uma nova ameaça cibernética na forma do Mebroot Rootkit. Esse malware desagradável assumiu o controle do processo de inicialização do computador, permitindo que ele fosse executado antes do sistema operacional e de qualquer programa antivírus. Os criminosos por trás do Mebroot permanecem desconhecidos, mas sua criação causou um impacto significativo no cenário cibernético.
As vítimas do Mebroot eram diversas, variando de usuários individuais a empresas. Seu alcance geográfico era global, não deixando nenhuma região intocada. Embora o número exato de pessoas afetadas não seja claro, a ampla distribuição do malware sugere que foi substancial.
A natureza dos dados comprometidos dependia das cargas secundárias fornecidas pelo Mebroot. Desde o roubo de credenciais bancárias até a instalação de malware adicional, o dano potencial era vasto. As perdas financeiras diretas eram difíceis de determinar, mas o impacto na privacidade pessoal e nas operações comerciais era significativo.
As contramedidas para o Mebroot envolveram uma abordagem dupla. As empresas de antivírus desenvolveram ferramentas de detecção e remoção, enquanto os provedores de serviços de Internet trabalharam para identificar e limpar os computadores infectados. Após o Mebroot, houve um foco maior na proteção do processo de inicialização, o que levou a avanços na segurança dos computadores.
O Mebroot Rootkit ilustrou a corrida armamentista contínua entre os criminosos cibernéticos e os profissionais de segurança cibernética. Ele mostrou a necessidade de vigilância e adaptabilidade constantes diante de ameaças em constante evolução.
- Rootkit Stuxnet
O invasor industrial de 2010
Em 2010, um novo jogador entrou na arena cibernética. O Stuxnet Rootkit, parte do infame worm Stuxnet, não foi projetado para roubar números de cartões de crédito ou enviar e-mails de spam. Em vez disso, ele tinha como alvo os sistemas de controle industrial, principalmente nas instalações nucleares do Irã. Acredita-se amplamente que o Stuxnet foi criado por entidades patrocinadas pelo Estado, marcando uma nova era na guerra cibernética.
Ao contrário de outros rootkits, as vítimas do Stuxnet não eram indivíduos ou empresas, mas sim a infraestrutura de um país específico. Apesar de seu alvo localizado, a descoberta do Stuxnet teve implicações globais, revelando o potencial das armas cibernéticas em conflitos internacionais.
Os dados comprometidos não eram de natureza pessoal ou financeira. Em vez disso, o Stuxnet manipulou sistemas industriais, causando danos físicos às centrífugas do programa nuclear do Irã. Embora as implicações financeiras sejam difíceis de quantificar, o impacto geopolítico foi substancial.
As contramedidas ao Stuxnet envolveram uma resposta internacional complexa, com empresas de segurança cibernética de todo o mundo correndo para analisar e atenuar o worm. Na sequência, houve um maior foco na segurança dos sistemas de controle industrial e uma nova conscientização sobre o potencial da guerra cibernética.
O Rootkit Stuxnet demonstrou a ampliação do escopo das ameaças cibernéticas, indo além dos computadores pessoais e atingindo o domínio da infraestrutura essencial. Ele serviu como um alerta para governos e setores sobre a importância da segurança cibernética.
- Rootkit Alureon/TDL-4
O demônio disruptivo de 2011
Em 2011, um rootkit ameaçador conhecido como Alureon, ou TDL-4, iniciou seu reinado de perturbação digital. O Alureon foi uma criação de um grupo anônimo de criminosos cibernéticos, apresentando um novo nível de sofisticação em seu design.
Suas vítimas abrangiam indivíduos e empresas em todo o mundo, criando uma pegada considerável de caos em seu rastro. O Alureon era particularmente famoso por travar o Windows Update e neutralizar o software antivírus, deixando suas vítimas indefesas. É difícil determinar o número de indivíduos e entidades afetados, mas, dada sua natureza agressiva, deve ter sido substancial.
A natureza dos dados comprometidos era ampla, variando de informações pessoais a dados financeiros. Embora os números dos danos financeiros diretos permaneçam indefinidos, o custo para reparar os sistemas afetados e o potencial de uso indevido de dados foram significativos.
As contramedidas contra o Alureon envolveram um esforço combinado de empresas de segurança e empresas de tecnologia, que desenvolveram ferramentas especializadas para detectar e remover esse obstinado rootkit. Após a saga do Alureon, foi dada maior ênfase à proteção das vulnerabilidades do sistema exploradas por ele, o que levou a práticas de segurança aprimoradas.
A Alureon serviu como um forte lembrete da sofisticação crescente das ameaças cibernéticas e da importância de manter medidas de segurança de computador robustas e atualizadas.
- ZeroAccess Rootkit
O Bandido do Bitcoin de 2011
Também em 2011, o rootkit ZeroAccess estava ocupado criando sua própria marca de caos digital. O ZeroAccess foi obra de um grupo desconhecido, que o utilizou para construir uma formidável botnet.
Seus alvos incluíam indivíduos e empresas, em todo o mundo. O botnet ZeroAccess foi usado para duas finalidades principais: fraude de cliques e mineração de Bitcoin. Ambas as atividades requerem recursos de computação significativos, que a ZeroAccess confiscou de suas vítimas. Embora os números exatos sejam difíceis de determinar, a escala de suas operações sugere que milhões de computadores provavelmente foram afetados.
Embora os dados pessoais ou confidenciais não fossem o objetivo principal da ZeroAccess, o uso não autorizado de recursos de computação causou uma interrupção considerável e possíveis perdas financeiras. Estima-se que apenas o custo dos cliques fraudulentos tenha sido de milhões de dólares, sem mencionar a eletricidade usada para a mineração de Bitcoin.
A luta contra o ZeroAccess foi um esforço colaborativo, com empresas de tecnologia, empresas de segurança e agências de aplicação da lei se unindo para derrubar o botnet. Essa ação marcou uma vitória significativa contra os rootkits e demonstrou o potencial de cooperação bem-sucedida no combate às ameaças cibernéticas.
A ZeroAccess ressaltou as diversas motivações por trás dos rootkits, que vão além do roubo de dados e incluem outras formas de ganho ilícito. Ela destacou a necessidade de vigilância contínua e práticas sólidas de segurança para proteger contra essas ameaças em constante evolução.
- Rootkit Flame
O especialista em espionagem de 2012
Em 2012, um novo espectro surgiu no horizonte digital: o rootkit Flame. Esse malware não estava interessado em ganhos financeiros ou na distribuição de spam. Em vez disso, ele tinha um objetivo mais sinistro: a espionagem cibernética. Os criadores do Flame permanecem desconhecidos, mas seu nível de sofisticação sugere que ele provavelmente foi patrocinado pelo Estado.
Os alvos do Flame eram altamente específicos, concentrando-se em países do Oriente Médio, especialmente o Irã, para suas operações de espionagem. Seu objetivo era coletar informações confidenciais, de documentos a gravações de áudio, tornando-o uma ferramenta potente para a guerra de informações. Embora o número de sistemas afetados tenha sido relativamente pequeno em comparação com outros rootkits, a natureza sensível dos dados visados pelo Flame tornou seu impacto significativo.
Embora as perdas financeiras não sejam normalmente associadas à Flame, as implicações geopolíticas foram profundas. Os dados roubados poderiam ter sido usados para vários fins, desde influenciar negociações diplomáticas até obter uma vantagem estratégica em conflitos.
As contramedidas contra o Flame envolveram o esforço colaborativo de empresas de segurança cibernética de todo o mundo, analisando o rootkit e desenvolvendo ferramentas de detecção e remoção. Após o ocorrido, houve um foco renovado na proteção de sistemas contra ameaças sofisticadas e o reconhecimento do espaço cibernético como uma nova fronteira na espionagem internacional.
O rootkit Flame serviu como um forte lembrete dos recursos em expansão das ameaças cibernéticas, que vão além do roubo de dados pessoais ou financeiros e chegam ao domínio da espionagem patrocinada pelo Estado.
- Uroburos Rootkit
O devorador de dados de 2014
O ano de 2014 viu a chegada do rootkit Uroburos, um malware particularmente avançado que se acredita ser patrocinado pelo Estado. Suas origens exatas permanecem desconhecidas, mas sua complexidade e alvos sugerem que uma entidade com bons recursos estava por trás dele.
O Uroburos tinha como alvo instituições de alto nível, de empresas a organizações governamentais, com foco especial no roubo de dados. O escopo geográfico desse rootkit era amplo, mas seu direcionamento seletivo fez com que o número de vítimas fosse menor do que o de outros rootkits. No entanto, o alto valor dos dados comprometidos tornou seu impacto substancial.
As implicações financeiras dos Uroburos são difíceis de quantificar, mas o roubo de dados confidenciais pode levar a perdas significativas, tanto em termos de custo financeiro quanto de vantagem estratégica. A natureza dos dados roubados variava, mas incluía informações corporativas e governamentais confidenciais.
As contramedidas contra o Uroburos envolveram o esforço coletivo de empresas de segurança cibernética para analisar, detectar e remover o rootkit. Na sequência, houve uma maior ênfase na proteção dos sistemas contra essas ameaças avançadas, especialmente em instituições de alto nível.
A Uroburos ressaltou a crescente sofisticação dos rootkits e seu potencial para ataques estratégicos e direcionados. Isso serviu como um lembrete da importância crucial de medidas robustas de segurança cibernética, especialmente para organizações que lidam com dados confidenciais.
Mantendo-se seguro no cenário digital
À medida que percorremos o cenário digital, fica claro que o malware é uma ameaça persistente, capaz de evoluir e se adaptar às nossas defesas. Mas, embora as histórias desses ataques infames possam parecer intimidadoras, lembre-se de que não estamos indefesos.
Atualizar seus dispositivos é uma das medidas mais simples que o senhor pode tomar. As atualizações de software geralmente incluem correções para vulnerabilidades de segurança, portanto, manter seu software atualizado pode ajudá-lo a se proteger de muitas ameaças.
Investir em um dos melhores softwares antivírus para Windows 11, como Norton, Bitdefender, McAfee, Panda ou Kaspersky, também é uma medida inteligente. Essas sentinelas digitais trabalham incansavelmente para detectar e neutralizar as ameaças antes que elas possam causar danos. Elas são atualizadas continuamente para responder às ameaças mais recentes, proporcionando uma linha de defesa em constante evolução.
Além dessas etapas, estar ciente das ameaças e entender como elas operam pode proporcionar uma proteção valiosa. Seja cauteloso com e-mails não solicitados, especialmente aqueles com anexos ou links. Desconfie de ofertas e solicitações de informações confidenciais que sejam boas demais para serem verdadeiras.
O mundo da segurança cibernética pode parecer um lugar assustador, mas há muitos recursos disponíveis para ajudá-lo a navegar nele com segurança. Aqui estão algumas fontes (em inglês) confiáveis onde o senhor pode saber mais:
- O guia da Comissão Federal de Comércio dos EUA para proteger seu computador
- Orientação do National Cyber Security Centre sobre o uso de software antivírus
- Dicas da European Union Agency for Cybersecurity para uma vida melhor na Internet
- Relatório de crimes na Internet de 2020 do Internet Crime Complaint Center (IC3) do FBI
- Relatórios e recursos da Cybersecurity & Infrastructure Security Agency (CISA)
- Relatórios de crimes na Internet do Federal Bureau of Investigation (FBI)
- Relatório de ameaças à segurança na Internet da Symantec
Mantenha-se seguro, atualizado e lembre-se: a melhor defesa é estar informado e preparado.

Autor: Tibor Moes
Fundador e Editor Chefe do SoftwareLab
Tibor é um engenheiro e empresário holandês. Ele tem testado o software de segurança desde 2014.
Ao longo dos anos, ele testou a maioria dos principais softwares antivírus para Windows, Mac, Android, e iOS, assim como muitos provedores de VPN.
Ele usa Norton para proteger seus dispositivos, CyberGhost para sua privacidade, e Dashlane para suas senhas.
Esse website é hospedado em um servidor Digital Ocean via Cloudways e é construído com DIVI em WordPress.
O senhor pode encontrá-lo no LinkedIn ou entrar em contato com ele aqui.