Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows.
Algunas versiones españolas de programas lo han traducido como «Encubridor».
Origen de los rootkits
El origen de los rootkits puede ser muy variado. La mayoria aparecen desde los emuladores y descargadores de archivos mediante varios virus lo cual se le podria decir que aparte de encubrir es un duplicador de ellos.
Uso de los rootkits
Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.
Los rootkits se utilizan también para usar el sistema atacado como "base de operaciones", es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).
Tipos básicos
Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procesamiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.
Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.
Ejemplos
Algunos troyanos han utilizado estos rootkits no-persistentes ( FU Rootkits ) que cargan en la memoria una vez que ellos se encuentran instalados.
SuckIT
Adore
T0rn
Ambient's Rootkit (ARK)
Hacker Defender
First 4 Internet XCP (Extended Copy Protection) DRM
Detección de rootkits:
El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un PenDrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.
Algunas versiones españolas de programas lo han traducido como «Encubridor».
Origen de los rootkits
El origen de los rootkits puede ser muy variado. La mayoria aparecen desde los emuladores y descargadores de archivos mediante varios virus lo cual se le podria decir que aparte de encubrir es un duplicador de ellos.
Uso de los rootkits
Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.
Los rootkits se utilizan también para usar el sistema atacado como "base de operaciones", es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).
Tipos básicos
Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procesamiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.
Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.
Ejemplos
Algunos troyanos han utilizado estos rootkits no-persistentes ( FU Rootkits ) que cargan en la memoria una vez que ellos se encuentran instalados.
SuckIT
Adore
T0rn
Ambient's Rootkit (ARK)
Hacker Defender
First 4 Internet XCP (Extended Copy Protection) DRM
Detección de rootkits:
El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un PenDrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.
9 comentarios:
JORGE NOE CEQUERA ROMERO.
En mi opinion el ANTIROOTKIT es algo importante por que ayuda a todos los usuarios a detectar los intrusos que se esconden en los archivos y ayudan a que los virus entren e infecten a nuestro equipo y son los llamados ROOTKIT estos pequeños intrusos pueden contaminar toda la informacion que contenga una maquina y ademas duplica los virus y de esta forma dañan mas el equipo de computo.
Carlos Alberto Rubio Cruz:
Bueno primero que nada quisiera aclarar que no le entendi del todo la funcion que tiene un anti-rootkit......
Pero a lo que pude captar es que los anti-rootkit ayuda a la deteccion de intrusos que se encuentran escondidos en algunos archivos de nuestro equipo y que pueden dar el acceso a virus malisiosos a nuestro equpo......
Los "rootkit" como lo menciona arriba el compañero Noe estos intrusos contaminan la informacion que contenga la maquina se o no sea importante.....
Bueno me gustaria dar una explicacion mas amplia pero la verdad no le entendi del todo a este tema bueno esta es mi opinion sobre este tema......
saludos
N_N
WENDY ZEQUERA MARTINEZ.
Bueno estoy de acuerdo kon mis dos compañeros de equipo anteriores por que los antirootkit son de gran ayuda por que nos ayudan a detectar los intrusos que se esconden en nuestros archivos y ayudan a que entren mas virus.
pues este tema me parecio m uy bien hecho por que tiene la suficiente informacion que se pudio y a demas que este tema es muy interesante
pues en este tema es muy importaente por que
se redacta bien aparte de todo y pues los antirookit
pues son importantes y esta bien
elaborado
en anti rockit es my importante para la seguridad de nuestro rquipo ya que puede detctar cualquier tipo de archivo malicioso que se encuentre
es importante para proteger el equipo y eso es lo que mas importa entre otras para la computadora
a mi me gusto mucho por que nfue mucha informacion pero esta bien
yo opino lo mismo que fanny
Publicar un comentario