[Seg] Nueva y eficaz herramienta para detección de rootkits

02/03/2005 - 18:22 por fermu | Informe spam
Hash: SHA1

¿que es un rootkik?

Un rootkit es un soft especializado en técnicas de ocultación, que va
normalmente anexo a troyanos, virus, etc. Y cuya finalidad es
precisamente, que este tipo de software malicioso pase despercibido,

El termino rootkik proviente del mundo linux/unix, en donde "root"
(equivalente al usuario "administrador" de winxp) es el máximo nivel de
privilegios que se puede alcanzar, los rootkit nacieron precisamente en
este mundo, con un rootkit es posible incluso sustituir las salidas de
los comandos más habituales, inhabilitando herramientas, que suelen ser
esenciales para detectar actividades en la red que pudieran ser anomalas.

Este herramienta esta disponible, para descarga en una pagina que ya es
conocida en estos foros, por utiles programillas.

http://www.sysinternals.com/ntw2k/f...veal.shtml

El programa que solo pesa 270 Kb, tiene la habilidad de detectar varias
clases de rootkit (persistent rootkit, memory bases rootkit, user-mode
rootkit)

La herramienta no requiere instalación, se puede ejecutar en modo
grafico y en modo comando, para ejecutarla en modo grafico, es preciso
hacer doble click sobre el archivo "Rootkitrevealer.exe", durante el
proceso es esencial que no hagamos ninguna actividad en el PC, y
cerremos cualquier programa que estemos ejecutando en el ordenador,
desactivando incluso el salvapantallas, ya que de otro modo los
resultados que se presentan en pantalla pueden no ser correctos

Una vez comenzado el programa, este presentará sus resultados, siendo
posible que muestre archivos esenciales del sistema operativo, que
mostrará con un signo dolar delante

En realidad solo son preocupantes los que no lleven este signo dolar y
tengan el apartado "description", la leyendo Hidden From Windows API
(ocultos a la API de windows)

No todo los que se va a presentar, es por tanto, un rootkit, ya que
también hay software antivirus, que maneja técnicas de ocultación para
la detección de malware, no obstante, esta herramienta nos puede dar una
aprox. de lo que realmente tenemos metido en el PC, si detectamos alguno
de estos bichos, y no va precedido por el signo dolar, lo mejor es
navegar hasta la carpeta en cuestion, (desactivando la opcion de no
mostrar archivos ocultos en mi pc > herramientas), si el archivo se
presenta alli, pero no se presenta en el explorador podría ser
sintomatico de la presencia de un rootkit en nuestro PC.

Por ejemplo, un listado como este es completamente normal obtenerlo y
son archivos correspondientes al S.O.

$AttrDef
$BadClus
$BadClus:$Bad
$BitMap
$Boo
$LogFile
$Mft
$MftMirr
$Secure
$UpCase
$Volume
$Extend
$Extend\$Reparse
$Extend\$ObjId
$Extend\$UsnJrnl
$Extend\$Quota

Pero no sería normal por ejemplo, obtener este otro nombre de archivo,

HKLM\system\controlset001\enum\legacy_hackerdefenderdrv100


En fin, que recomiendo precacución con su uso, si detectamos un rootkit
en el PC, no hay forma humana de saber a ciencia cierta lo que nos han
hecho en el PC, por lo que la opción, más recomendable es el formateo y
la reinstalación en limpio.

Vuelvo a repetir que hay que interpretar los resultados sin alarmismo, y
que los archivos que van precedidos de un signo dolar, son del sistema
operativo, y no corresponden a rootkit. Para cualquier duda, es
recomendable leerse la ayuda del programa que, aunque en ingles es muy
completa.




Saludos
Fernando M. / Registered Linux User #367696
 

Leer las respuestas

#1 Caterpillar 1.0
02/03/2005 - 18:30 | Informe spam
on 02/03/2005, fermu supposed :
Hash: SHA1

¿que es un rootkik?

Un rootkit es un soft especializado en técnicas de ocultación, que va
normalmente anexo a troyanos, virus, etc. Y cuya finalidad es
precisamente, que este tipo de software malicioso pase despercibido,




tnaks ya va cayendo :-)

Saludos
Caterpillar 1.0

Preguntas similares