Skip to content

Rootkits y bootkits: encubridores de virus y de hackers

septiembre 23, 2010

¿Qué son los rootkits?

Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programasprocesosarchivosdirectorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/LinuxSolarisMicrosoft Windows.

Dicho de otra forma, los rootkits son programas que permiten a virus y a hackers trabajar a escondidas sin que el sistema operativo pueda detectarlos.

Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.

Los rootkits se utilizan también para usar el sistema atacado como “base de operaciones”, es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).

¿Qué es un Bootkit?

Es una nueva clase de malware denominada como la evolución del rootkit convencional que ataca a todas las versiones de Windows desde 2000 hasta la reciente Server 2008 y Windows 7 (32 y 64 bits), sumando funciones más complejas como la capacidad de infectar el “Master Boot Record“.

Un Bootkit se aloja en el MBR (Master Boot Record), que es el encargado de informarle al sistema operativo qué archivo se deberá cargar en el inicio del proceso de arranque, permitiendo así iniciar u ocultar otros malwares antes de que se cargue el mismo sistema operativo.

Una vez que un Bootkit infecta una máquina, puede permanecer totalmente oculto e inactivo sin mostrar absolutamente ningún síntoma en el equipo, pasando así desapercibido tanto para los programas AntivirusAntirootkits, como también para el mismo usuario.

¿Cómo eliminar un rootkit?

Existen programas especiales para detectar y eliminar rootkits. Estos son algunos de ellos:

Avira AntiRootkit Tool

Para Windows NT/2000/XP/Vista. Gratuito.

Reconoce rootkits activos. No obstante, hay rootkits que se utilizan legítimamente en programas. Avira AntiRootkit Protection también los detecta. Tenga en cuenta que la utilización de los rootkits notificados se realiza por su cuenta y riesgo y que puede provocar errores en los programas.

F-Secure BlackLight Rootkit Eliminator

Para Windows NT/2000/XP/Vista. Gratuito.

Sirve para detectar y eliminar ‘objetos’ ocultos, tanto a la vista del usuario (si vamos a la carpeta en la que está el rootkit no se verá) como a las utilidades de seguridad habituales.

Esta utilidad es muy sencilla, basta con ejecutarla (sin necesidad de instalación) e indicarle que inicie el escaneo.

Sus mayores virtudes probablemente son que sólo muestra cuando realmente ha encontrado un rootkit, su velocidad de análisis y la posibilidad de eliminar rootkits activos (los marca para eliminarlos al reiniciar).

GMER Antirootkit free

Para Windows NT/2000/XP/Vista. Gratuito.

Al descargar el archivo “Gmer ARK.zip”, tendremos a disposición la ultima versión disponible de este en su archivo “gmer.exe”, otra versión del mismo en un archivo con nombre aleatorio por si no se puede ejecutar el original, su utilidad especifica para problemas de Mebroot en su archivo “mbr.exe” y la utilidad“Defogger.exe” para desactivar los drivers controladores de emulación de CD en Daemon Tools, Alcohol entre otros.

Panda Anti-Rootkit

Para Windows 2000 y siguientes. Gratuito.

Panda Anti-Rootkit analiza el ordenador en busca de elementos ocultos en procesos de ejecución, el registro de Windows y los discos duros locales. Una vez detectado el rootkit malicioso, lo elimina sin dejar rastro de el, ni de los programas que oculta, incluyendo archivos, procesos, entradas de registro y ADSs asociadas a esos rootkits.

Panda Anti-Rootkit, le permitirá protegerse de una manera rápida, fácil y gratuita del fraude y del robo de datos impulsados por los códigos maliciosos que se encuentran ocultos en el ordenador.

Sophos Anti-Rootkit

Para Windows 2000 y siguientes. Requiere 128 Mb de RAM. Gratuito pero requiere registro.

Sophos Anti-Rootkit puede detectar y eliminar eficientemente los rootkits en su ordenador. El uso de este Antirootkit es fácil y muy práctica ya que ofrece dos vías para utilizarlo, la primera usándolo mediante su interface gráfica (sargui.exe) y otra si es ejecutado usando la versión de línea de comandos (sarcli.exe), aparte puede seleccionar por separado las áreas a escanear.

Sysinternals RootkitRevealer

Para Windows NT/2000/XP/Vista. Gratuito.

RootkitRevealer es una herramienta de Sysinternals dedicada a la detección de rootkits, un tipo de malware que puede otorgar el control del ordenador a un usuario remoto.

La localización de rootkits por parte de la aplicación tiene lugar tras un análisis pormenorizado del registro y de las llamadas realizadas al sistema de ficheros.

La relación de rootkits que RootkitRevealer puede hallar es la misma que la existente en el sitio web rootkit.com e incluye invitados tan ilustres como AFX, Vanquish y HackerDefender.

La clave para detectar rootkits está en la interpretación que se haga de los datos proporcionados por el programa. Utiliza el manual de ayuda incluido con RootkitRevealer para conocer si el ordenador está infectado por este software malicioso.

¿Tan poquitos programas anti-rootkits?

No. He aquí una lista más completa de software anti-rootkit.

Más información en:

Deja un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: