root kit?

16/10/2003 - 04:15 por 650MB | Informe spam
el caso es que ultimamente parece que fui victima de varios programas no
demasiado recomendables aparte de aparentes fallos en el NtBIOS lo que unido
a extraños comportamientos del XP me hizo reflexionar, para colmo...

el otro dia me estuvieron metiendo algo de respeto sobre los root kit
dicha persona no me aclaro si estos engendros modifican DLLs o las cambian o
ni las usan! (me imagino que si...)

estuve pensando en una forma de comprobar si mis DLLs son las autenticas, y
crei en hacer un script para calcular el CRC32 pero luego me lo pense mejor
y realice una funcion resumen tipo MD5 (no soy gran conocedor de estos
temas, si hago alguna imprecision ruego disculpas)
cosa que hice y si, parece que todo coincide pero aun asi tengo algo de
paranoia,,,podria el root kit interceptar las cryptoapis de Win32?



md5file /ntdll.dll


Hash(MD5) ntdll.dll 7939DD2382FEA41CC299965F847319D5
Hash(MD5) _tdll.dll 7939DD2382FEA41CC299965F847319D5
Hash(MD5) _sock32.dll EE6B5E25B9B8435766A9D04EB4D18FEB
Hash(MD5) wsock32.dll EE6B5E25B9B8435766A9D04EB4D18FEB
Hash(MD5) ws2_32.dll D482DB3DEA440CDD4435DC05B986F8E1
Hash(MD5) _s2_32.dll D482DB3DEA440CDD4435DC05B986F8E1
 

Leer las respuestas

#1 Lokutus
16/10/2003 - 17:48 | Informe spam
El tal 650MB en la fecha Jueves 16 Octubre 2003 04:15 escribio en
microsoft.public.es.windowsxp.seguridad el siguiente mensaje:

el caso es que ultimamente parece que fui victima de varios programas
no demasiado recomendables aparte de aparentes fallos en el NtBIOS lo
que unido a extraños comportamientos del XP me hizo reflexionar, para
colmo...

el otro dia me estuvieron metiendo algo de respeto sobre los root kit
dicha persona no me aclaro si estos engendros modifican DLLs o las
cambian o ni las usan! (me imagino que si...)




Si tuvieras un rootkit instalado, chequear los MD5 no te
serviría de nada, pues un rootkit convierte a un sistema
operativo en un "sistema mentiroso".

Los rootkit, son más propios del mundo UNIX, y constan de
un conjunto de herramientas, (rootKIT), entre ellas zappers,
backdoors, xploits locales, etc, etc), que tratan de asegurar
no sólo la troyanización de la máquina, si no también de que
esa troyanización no va a ser detectada por lo métodos
tradiccionales, (ps, netstat, who, ls, etc).

Por lo tanto, los RootKit son algo bastante más avanzado
que un vulgar troyano, ya que se instalan en el propio kernel
como un driver del sistema operativo, son capaces de interceptar
llamadas al sistema de tal forma que haga inutil la misión
de software tales como IDS de Host, antivirus y demás herramientas
de seguridad.

Un RootKit puede:

- Ocultar procesos del sistema operativo, de tal forma que sean
invisibles.

- Ocultar ficheros y directorios enteros del disco duro, de tal
que sea imposible ver los ficheros ocultos.

- Ocultar puertos abiertos y conexiones contra esos puertos.
Manipulando incluso las tablas de estadísticas TCP e IP.

- Y por supuesto pueden chulear cualquier sistema de seguridad
que haga chequeos MD5 o comprobaciones de integridad del propio
sistema operativo.

Una posible forma de saber si tienes un RootKit es arrancando con
un disquette de arranque, (de Windows o de Linux), y comprobar si
hay ficheros que no ves cuando tienes el Windows arrancado. Puedes
emplear un CD de knoppix por ejemplo.

También puedes utilizar un IDS de red instalado en otra máquina o
un sniffer, para comprobar si hay tráfico extraño entre tu máquina y
la red.

Los ficheros ocultos por un rootkit, suelen tener un prefijo en el
nombre, por ejemplo:

ntroot_nombrefichero.

De tal forma que todos los ficheros que comiencen con el nombre
"ntroot_" no serán visibles. El prefijo es configurable por el
instalador del rootkit.

En el mundo Windows, los rootkit, al meterse tanto con las
entrañas del sistema operativo, son muy dependientes de este,
de tal forma que un rootkit para NT, no vale para Windows 2000
o Windows XP.

Además, son mucho más complicados de desarrollar que un vulgar
troyano, por lo que hay muy pocos rootkit, a diferencia de los
troyanos, que hay miles de ellos. Cualquier adolescente sabe
programar un troyano, pero un rootkit para Windows es otra
historia muy diferente.

El único rootkit que conozco que existe para Windows, es el famoso
ntrootkit, y sólo funciona para Windows NT, y no es tan fácil
conseguirlo, pues tienes que pedirselo a sus autores dandoles tus
datos y explicandoles para qué lo quieres, es decir, es de un acceso
muchísimo más restringido que un troyano.

Es bastante improbable que tengas un rootkit. No creo que los
"juakers" españoles tengan acceso a un rootkit para XP, en realidad
no creo que lo tenga nadie. Para XP seguro que no.

Existe un artículo del grupo 2A69 que explica como con un módulo
cargable de Linux puedes interceptar ciertas llamadas al sistema
operativo Linux para hacer que el famoso "md5sum" te proporcione
resultados falsos. Probablemente eso ya no funcione con los kernels
nuevos.



Lokutus, asimilando la red.

Preguntas similares