Herramientas de detección y eliminación de Rootkit.
 |
Un Rootkit es un conjunto de programas que parchean y troyanizan el sistema operativo. No hay que confundir a estos con los troyanos. Su código que en principio no es dañino por sí solo, usado conjuntamente con un virus, un troyano o spyware resulta muy peligroso, porque no deja huella.
Las posibilidades que aporta un rootkit son infinitas, desde troyanizar el sistema de autentificacion para posibilitar el acceso a un usuario que no este presente en el archivo de contraseñas (invisible desde la vista del propio administrador), parchear un sistema de deteccion de intrusos (IDS), parchear la auditoria para que no se audite las acciones de un determinado usuario, etc.
El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o una memoria USB debido a que un rootkit activo puede ocultar su presencia.
Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.
Para detectar rootkits se utilizan herramientas que detecta: procesos, servicios, archivos, carga de drivers, drivers ocultos, librerías, la creación de procesos, conexiones TCP/IP y entradas en el registro. Como las que se muestran aquí.
Rootkit Hunter.
Se trata de una herramienta que detecta rootkits y exploits locales en el sistema, escaneando ficheros y directorios en busca de ficheros usados por rootkits y realizando comparaciones con testeo MD5.
Entre sus características destaca:
- Detecta los rootkits: IntoXonia, NG rootkit , rootkit Phalanx2…
- Soporte para archivos TCB shadow.
- Chequea las características de los inodos de los archivos.
- Testea configuración de SSH.
Rootkit Hunter ha sido testeado en los siguientes sistemas: AIX 4.1.5 / 4.3.3, ALT Linux, Aurora Linux, CentOS 3.1 / 4.0, Conectiva Linux 6.0, Debian 3.x, FreeBSD 4.3 / 4.4 / 4.7 / 4.8 / 4.9 / 4.10, FreeBSD 5.0 / 5.1 / 5.2 / 5.2.1 / 5.3, Fedora Core 1 / Core 2 / Core 3, Gentoo 1.4/2004.0/2004.1, Macintosh OS 10.3.4-10.3.8, Mandrake 8.1 / 8.2 / 9.0-9.2 / 10.0 / 10.1, OpenBSD 3.4 / 3.5, Red Hat Linux 7.0-7.3 / 8 / 9, Red Hat Enterprise Linux 2.1 / 3.0, Slackware 9.0 / 9.1 / 10.0 / 10.1, SME 6.0, Solaris (SunOS), SuSE 7.3 / 8.0-8.2 / 9.0-9.2, Ubuntu y Yellow Dog Linux 3.0 / 3.01.
Más información y descarga de Rootkit Hunter:
http://sourceforge.net/projects/rkhunter/
Sophos Anti-Rootkit.
La compañía de seguridad Sophos tiene potente herramienta para la detección de estas amenazas, que es totalmente gratuita y muy eficaz.
Mas información y descarga de Sophos Anti-Rootkit:
http://esp.sophos.com/products/free-tools/sophos-anti-rootkit.html
