Este blog no contiene ningún tipo de fichero, ni link alguno de descarga; como mucho se puede facilitar accesos a webs donde se pueden conseguir. En ningún caso se cuenta con ingreso o ánimo lucrativo alguno.

Los Rootkit, que son, como tratarlos.

01 marzo 2008

Los "Rootkit", también conocidos domo "Encubridores" son unos pequeños programas, con rutinas encriptadas, que se instalan en forma "oculta" en los sistemas de los usuarios de PC y servidores para evitar ser detectados por los antivirus, software de seguridad y utilitarios de administración de los sistemas.

Pueden ejecutar acciones de todo clase, incluso destructivas, sin ser detectados. Asímismo esconden backdoors (puertas traseras) las cuales ocultan hábilmente para que no podamos detectar. Por ejemplo, el rootkit puede esconder una aplicación.Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.

Los Rootkits también se pueden utilizar para usar el sistema atacado como "base de operaciones", es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado es el que lanza los ataques y no el intruso externo. Vamos!!!! que se nos puede presentar la Guardia Civil en casa y acusarnos de "sacudir" la página de cualquier conocida marca de productos, siendo simples intermediarios de este ataque.

Tenemos dos tipos de Rootkit's, los que van integrados en el núcleo de nuestro pc y los que funcionan a nivel de aplicación. Sin entrar en detalles técnicos puedo decir que los de "núcleo" son los más peligrosos y difíciles de detectar ya que actúan desde el kernel (que es el corazón de nuestro Sistema Operativo) modificando el código de éste. Los de aplicación reemplazan los archivos ejecutables que tengamos en nuestro pc originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.

Los fabricantes de aplicaciones de seguridad han ido integrando los detectores de rootkits en los productos tradicionales de detección de antivirus. Si un rootkit consigue esconderse durante el proceso de detección, será identificado por el detector de rootkits, que busca movimientos sospechosos. Si el rootkit "decide" detenerse momentáneamente, será identificado como un virus.

Tenemos varias aplicaciones para detección y eliminación específica de estos "indeseados amigos". Una de ellas, la que os muestro, es gratuita, en inglés y de muy fácil manejo, su nombre AVG Anti-Rootkit , para descargarla pinchar sobre el nombre y os aparecerá la siguiente ventana


Seleccionamos "Guardar archivo" y nos baja el archivo "exe" a nuestro pc

lo ejecutamos y nos sale la pantalla de bienvenida, le damos a Next



Ahora nos dará a elegir entre la "interfaz" normal o la baja, elegimos la normal y recomendada.




Le damos a Next y aceptamos la pantalla que nos salga hasta que nos muestra la ruta donde va a quedar instalado, la podemos cambiar pero lo mejor es dejarla tal cual.



Seguimos aceptando todo y veremos como se nos instala el programa



En el último paso nos dará la opción de reiniciar o hacerlo manualmente más tarde, lo mejor es elegir "Reboot now" y luego "Finish". Hay que tener en cuenta que si no reiniciamos NO nos dejará hacer escaneo alguno.



Una vez reiniciado nuestro ordenador veremos en el escritorio el icono correspondiente, lo ejecutamos y vemos la siguiente ventana.

La primera pestaña superior izquierda es para la opción de escaneo, la segunda nos dará la opción de ir a la página de AVG y ver sus productos, por si queremos comprar alguno de ellos y la tercera y última pestaña es para poder descargar actualizaciones de la citada página. Nos situamos en la primera pestaña y le damos a la opción "Search for rootkits" y comenzará la búsqueda. Veremos una barra, la cual nos mostrará el porcentaje de escaneado y lo que nos queda.


Una vez terminado la revisión debemos elegir, mediante las casillas que nos saldrán a la izquierda de las entradas, las que queremos eliminar y pinchar en la opción "eliminar", nos saldrá un aviso en inglés que más o menos viene a decir que somos conscientes de lo que vamos a eliminar y que AVG se desentiende de los posibles daños que se originen en el pc. Aceptamos y nuestro pc se reiniciará. En mi caso no ha encontrado ningún Rootkit por lo que me sale la ventana que a continuación muestro.



Si le diese a la pestaña "Secure me now" me llevaría de nuevo a la web de AVG, así que le doy a "Close" y listo.

Mi consejo es que se vuelva a realizar un segundo escaneado.

No os preocupéis de todas las entradas que os salgan, ya que en ellas puede haber avisos falsos de archivos inútiles de nuestro sistema y no Rootkits maliciosos.

Con esto habremos "limpiado" de rootkits nuestro ordenador.

Tened en cuenta que no hay limpieza, ni escaneo, ni desinfección, ni programa 100% efectivo, por lo que no podemos confiar en ello plenamente, así como tampoco obsesionarnos con la seguridad.

Saludos.

0 comentarios: