Como detectar rootkit
|
Un Rootkit es un conjunto de programas que parchean y troyanizan el sistema operativo. No hay que confundir a estos con los troyanos. Su código que en principio no es dañino por sí solo, usado conjuntamente con un virus, un troyano o spyware resulta muy peligroso, porque no deja huella.
Las posibilidades que aporta un rootkit son infinitas, desde troyanizar el sistema de autentificacion para posibilitar el acceso a un usuario que no este presente en el archivo de contraseñas (invisible desde la vista del propio administrador), parchear un sistema de deteccion de intrusos (IDS), parchear la auditoria para que no se audite las acciones de un determinado usuario, etc.
El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o una memoria USB debido a que un rootkit activo puede ocultar su presencia.
Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.
Para detectar rootkits se utilizan herramientas que detecta: procesos, servicios, archivos, carga de drivers, drivers ocultos, librerías, la creación de procesos, conexiones TCP/IP y entradas en el registro.
Herramientas de desinfección:
GMER:
http://www.gmer.net/index.php
Herramienta RootkitRevealer :
http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx
Sophos Anti-Rootkit:
http://esp.sophos.com/products/free-tools/sophos-anti-rootkit.html
Dejo este mensaje por si estan interesados en el intercambio de enlace de texto en forma reciproca
http://intercambiodeenlace.firstposition.info/
http://tus-links.com.ar
Habeis probado gdata antivirus para los rootkits? http://www.gdata.de/support/ES/list/78/
Un saludo
Hola Quique
Personalmente el gdata es uno de los pocos antivirus que no he probado. Pero si alguien tiene alguna experiencia con el que la comente.
Un saludo
Gracias por la información sobre rootkit
Creo que tengo un rootkit voy a probar estes software
Excelente információn sobre rootkit
Compadre muchas gracias por la info, con esto me ayudas a cagarme a la gente mal informada de movistar y ademas para que mi computador este a salvo, gracias denuevo y suerte en todo.