martes, 9 de septiembre de 2008

La amenaza de los Rootkits

Los rootkits son, como su nombre indica, un conjunto de herramientas (kits) con derecho de administrador (root). Los Rootkits de manera más práctica, se encargan de troyanizar el sistema sin dejar rastro alguno. Un rootkits no tiene nada que ver con los troyanos típicos.

Los rootkits se encargan de modificar tareas y realizar acciones que están programadas de manera que su presencia sea practicamente imposible de ser detectada. La función del rootkit es de encubrir otros procesos que se están ejecutando de manera malintencionada en el sistema.

La detección de rootkits es muy dificil. Ya que por ejemplo si un usuario en modo root (sudo) analiza su sistema para observar que procesos se están ejecutando, el rootkit falsificará esa información mostrando todos los procesos menos a él mismo y a los proceso que esta ocultando.

Y el proceso sería el mismo si la información la pidiese un antivirus. El rootkits le falsificará los datos al antivirus igualmente y no será detectado.

Los rootkits tiene un problema destacable, y esque no son códigos que se propagen por sí mismo, es decir, no es como un gusano de internet, que navegando te puedes infectar, sino para infectarse por un rootkits ha tenido que ser instalado en un sistema directamente.

Los Rootkits tienes unas tareas que podríamos llamarlas "obligatorias" para ser considerado rootkits, por ejemplo:
  • Alterar las llamadas al S.O.
  • Tener los privilegios de Root
  • Falsear los datos
  • Etc
La mejor manera de evitar los rootkits es evitar su funcionamiento sin que se cargen en la memoria una vez que se arranca el sistema operativo.
Podríamos usar por ejemplo un cd live, y si conocemos el Rootkits, poder eliminarlo.

2 comentarios:

hatteras dijo...

Vale, inicio el sistema desde un cdlive, instalo las herramientas Chkrootkit y Rootkit Hunter, las ejecuto, y si encuentro algún rootkit...¿como lo elimino ?

Neztgul dijo...

@hatteras Eliminar un Rootkit es algo complejo y muy delicado que si no se sabe lo que se hace se puede dañar el sistema. Hay varias páginas en Internet que te lo explican detalladamente aunque es en inglés.

Saludos y perdona la tardanza. }:)