secure-os.org
ENFRESDEITPT
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
malware

Cos'è un rootkit? Come si nasconde e come rimuoverlo (2026)

secure-os· Aggiornato 22 giugno 2026· 5 min di lettura #malware#rootkit#security#threats#detection
Righe di codice sorgente su uno schermo scuro

Gran parte dei malware vuole farsi notare: cifrare i file, mostrare pubblicità, rubare una password. Un rootkit vuole il contrario: restare nascosto. Si annida in profondità nel sistema per mantenere il controllo senza che tu te ne accorga. Questa guida spiega cos’è un rootkit, come si nasconde, i segnali da osservare e come liberartene.

La risposta breve

  • Un rootkit è un malware creato per nascondersi e dare a un aggressore un controllo duraturo e privilegiato di un dispositivo.
  • Il nome viene da “root” — il livello di accesso più alto su un sistema — unito a un “kit” di strumenti per conservarlo.
  • Il suo tratto distintivo è la furtività. Un rootkit nasconde attivamente i propri file, processi e attività di rete, così gli strumenti normali non riescono a vederlo.

Come si nasconde un rootkit

Un programma normale compare nel task manager e tra i tuoi file. Un rootkit no. Si aggancia al sistema a basso livello e intercetta proprio le richieste che lo rivelerebbero. Quando il tuo antivirus chiede “quali file ci sono qui?”, il rootkit modifica in silenzio la risposta per escludersi. È questo a renderlo pericoloso: non si limita a infettare il sistema, controlla ciò che il sistema racconta di sé stesso.

Un portatile sotto un ombrello protettivo, a rappresentare la difesa del sistema
Un rootkit si nasconde intercettando i controlli stessi del sistema, così le difese abituali guardano un’immagine che il malware ha già modificato.

I tipi principali

I rootkit si distinguono per quanto in profondità si insediano. Più sono profondi, più è difficile trovarli e rimuoverli:

  • Rootkit in user-mode girano a livello applicativo. Sono i più comuni e i più facili da rilevare.
  • Rootkit in kernel-mode girano nel cuore del sistema operativo, con pieno controllo. Molto più difficili da individuare.
  • Bootkit infettano il processo di avvio, caricandosi prima del sistema operativo stesso.
  • Rootkit firmware si nascondono nel firmware dell’hardware e possono sopravvivere anche a una cancellazione completa del disco.

Segnali d’allarme

Poiché i rootkit si nascondono, gli indizi sono indiretti. Insospettisciti se il computer rallenta senza un motivo chiaro, se le impostazioni cambiano da sole, se il software di sicurezza viene disattivato o non si aggiorna, o se la rete mostra traffico che non sai spiegare. Nessuno di questi segnali da solo prova la presenza di un rootkit, ma insieme, su una macchina che si comporta in modo strano, meritano un’indagine. È proprio qui che un chiaro modello di minaccia ti aiuta a valutare il rischio reale.

Come rilevarlo e rimuoverlo

Il rilevamento richiede più di una scansione di routine. Poiché un rootkit in esecuzione può nascondersi dagli strumenti sullo stesso sistema, il metodo affidabile è eseguire la scansione dall’esterno: avviare il computer da una chiavetta USB di soccorso pulita, così il rootkit non è in esecuzione e non può mascherarsi. Per questo esistono scanner anti-rootkit e offline dedicati.

La rimozione è la parte difficile. Un rootkit in user-mode a volte si può ripulire, ma per un’infezione a livello di kernel o di avvio il consiglio onesto è una reinstallazione pulita: salva i tuoi dati, cancella il disco e reinstalla il sistema operativo da supporti affidabili. Per un sospetto rootkit firmware potresti persino dover aggiornare il firmware o ricorrere all’assistenza hardware. Nel dubbio, dai per scontato che il sistema non sia più affidabile e ricostruiscilo. Un rootkit è un tipo di malware, e le stesse buone abitudini di prevenzione — aggiornamenti, download attenti, privilegi minimi — lo tengono fuori fin dall’inizio.

In sintesi

Un rootkit è un malware il cui unico scopo è restare nascosto mentre dà a un aggressore il controllo. Si nasconde manomettendo ciò che il sistema racconta di sé, ed è per questo che le scansioni ordinarie possono mancarlo e che spesso devi eseguire la scansione dall’esterno del sistema in funzione. Per le infezioni profonde, una reinstallazione pulita è l’unica soluzione sicura. La difesa migliore è la prevenzione: tieni il software aggiornato, installa solo da fonti che ritieni affidabili e usa il computer come utente standard anziché come amministratore.

Domande frequenti

Cos’è un rootkit in parole semplici?

Un rootkit è un malware progettato per nascondersi e dare a un aggressore un controllo continuo e di alto livello sul tuo dispositivo. A differenza della maggior parte dei malware, il suo obiettivo principale è restare invisibile: nasconde i propri file e la propria attività così che tu e i tuoi strumenti di sicurezza non vi accorgiate che è in esecuzione.

Come faccio a sapere se ho un rootkit?

I segnali sono indiretti, perché i rootkit si nascondono. Fai attenzione a un rallentamento inspiegabile, a impostazioni che cambiano da sole, al software di sicurezza che viene disattivato o non si aggiorna, o a un traffico di rete anomalo. Nessuno di questi prova da solo la presenza di un rootkit, ma insieme su una macchina che si comporta male giustificano una scansione da una chiavetta USB di soccorso pulita.

Un antivirus può rimuovere un rootkit?

A volte, per i rootkit superficiali in user-mode. Ma un rootkit in esecuzione può nascondersi dagli strumenti sullo stesso sistema, quindi l’approccio affidabile è eseguire la scansione dall’esterno, avviando un disco di soccorso pulito. Per i rootkit a livello di kernel, di avvio o di firmware, una reinstallazione pulita del sistema operativo è di solito l’unica rimozione sicura.

Qual è la differenza tra un rootkit e un virus?

Un virus si diffonde copiando sé stesso in altri file e programmi. Un rootkit non punta a diffondersi: punta a nascondersi e a mantenere il controllo di un sistema che ha già compromesso. I due possono combinarsi: un malware potrebbe usare un virus per diffondersi e un rootkit per restare nascosto una volta arrivato.