Detectando Rootkits

Aug 1, 2009

Cuando tu PC notas que le pasa algo raro y tu suite de antivirus no dice nada,dale tres collejas al que te mande formatear y comprueba que tu pc este limpio de Rootkits.

 

¿Qúe es un Rootkit?

Es un programa que sirve para ocultar procesos, ficheros, conexiones, servicios... Si un atacante instalase un rootkit en el sistema de una víctima, ésta lo tendría muy complicado para detectar procesos sospechosos, conexiones a su máquina que no deberían existir etc, dando al atacante la posibilidad de ocultar todas sus actividades.

¿Clases de Rootkits?

Podemos encontrar distintas clases de este tipo de software:

  • Kits binarios: alcanzan su objetivo sustituyendo ciertos ficheros del sistema por sus contrapartes infectadas con troyanos.
  • Kits del núcleo: utilizan los componentes del núcleo (también llamados módulos) que son reemplazados por troyanos.
  • Kits de bibliotecas: emplean las Bibliotecas de Vínculos Dinámicos (Dynamic Link Libraries - DLL) del sistema para insertar troyanos.

¿Cómo detectar un Rootkit si lo oculta todo?

Existen diferentes maneras de detectar Rootkits:

  • Mediante el uso de algoritmos de chequeo de suma. Dichos algoritmos, como el MD5 checksum, garantizan que la única forma de que el resultado de la suma sea igual para dos archivos, es que los dos archivos sean perfectamente idénticos. De esta forma, un administrador precavido debe almacenar los checksum de su sistema en dispositivos externos, tales como CDs/DVDs, para poder, más adelante, identificar rootkits comparando dichos números con los generados por un programa de chequeo en un momento determinado.
  • Otra manera para detectar la posible existencia de rootkits es realizar escaneos de puertos desde otros equipos, con el fin de detectar puertas traseras (backdoors) que estén escuchando en puertos que normalmente no se utilizan o abrir el Administrador de Tareas y comprobar los procesos que se encuentran en ejecución.

También existen programas especializados, como RootkitRevealer, RkFiles y GMER, para detectar posibles "rootkits" en el PC. Es aconsejable que el informe que generen estos programas "anti-rootkit" sea revisado por un experto.

Mis 3 anti-rootkits que propongo son los siguientes:

Más de uno se quedará sorprendido de lo que puede aparecer en su PC.Esperaré buestras opiniones.