Los
rootkits son una amenaza de Internet, se ha hecho público últimamente su gran peligrosidad, desconocida por la mayoría de los internautas.
Pero, ¿qué es exactamente un
rootkit? ¿Por qué es tan peligroso? ¿Es cierto que no pueden eliminarse de los sistemas? Vamos a intentar responder a estas preguntas en forma rapida.
El término viene de la unión de “root” y de “kit”. “Root” se refiere al usuario con máximos derechos en sistemas tipo Unix (puede ser Unix, AIX, Linux, etc).
Es el
superusuario, el “administrador”, en definitiva, es la
expresión máxima de autoridad sobre un determinado sistema informático , "Su sistema, el que ud tiene en su mesa" o sea lo dominan desde fuera de su trabajo o casa . Por su parte, “kit” se refiere a un
conjunto de herramientas, por lo que un
rootkit se puede entender como un conjunto de herramientas con categoría de administrador de un sistema. En definitiva entra a su PC como lo hace "Pedro por su casa".
Los
rootkits, en la práctica, son programas que una vez instalados en un sistema, efectúan las
modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas
sin que su presencia pueda ser detectada. Fundamentalmente, los
rootkits tratan de
encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el
rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo. La única limitación es la imaginación del creador.
U
na gran empresa ha distribuido un
rootkit con sus productos y cometió un gran error de atentar contra el derecho de privacidad de las personas.
Para entender mejor
*Clases de “rootkits”:
De acuerdo a la tecnología empleada, existen tres clases principales de “rootkits”:
1. Kits binarios: alcanzan su objetivo sustituyendo ciertos ficheros del sistema por sus contrapartes infectadas con troyanos.
2. Kits del núcleo: utilizan los componentes del núcleo (también llamados módulos) que son reemplazados por troyanos.
3. Kits de bibliotecas: emplean las Bibliotecas de Vínculos Dinámicos Dynamic Link Libraries – DLL) del sistema para “insertar” Troyanos.
Pero no nos enredemos ve a esta pagina
http://technet.microsoft.com/es-ar/sysinternals/bb897445.aspx
Lea y entérese de que es y como funciona
Descarge y ejecute
Descargar RootkitRevealer (231 KB)
RootkitRevealer es una utilidad avanzada de detección de rootkit.
Se ejecuta en Windows NT 4 y discrepancias de sistemas superiores y sus listas de salida de registro y archivo de la API que pueden indicar la presencia de un usuario o de modo kernel-rootkit de modo.
RootkitRevealer detecta correctamente muchos rootkits persistentes como AFX, Vanquish y HackerDefender (nota: RootkitRevealer no está destinado a detectar rootkits como Fu que no intentan ocultar sus archivos o claves de registro).
Puesto que el trabajo persistente rootkits, cambiando los resultados de la API para que una vista del sistema con API difiere de la visión real de almacenamiento, RootkitRevealer compara los resultados de un sistema de análisis al más alto nivel con que en el nivel más bajo. El nivel más alto es el API de Windows y el nivel más bajo es el contenido de un volumen de primas sistema de archivo o sección del Registro (un archivo de la colmena es el Registro en formato de almacenamiento en disco).
Así, los rootkits, ya sea en modo de usuario o en modo de núcleo, que manipulan la API de Windows o la API nativa para eliminar su presencia de una lista de directorios, por ejemplo, será visto por RootkitRevealer como una discrepancia entre la información devuelta por la API de Windows y que se ve en las primas de exploración de una grasa o volumen de las estructuras del sistema de archivos NTFS.
Bueno esto es, solo un dolor de cabeza mas para muchos,,,, suerte
Entradas
