Qu son los Rootkits?

Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informticos o crackers que consiguen acceder ilcitamente a un sistema informtico. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicacin que lance una consola cada vez que el atacante se conecte al sistema a travs de un determinado puerto. Los rootkits del kernel o ncleo pueden contener funcionalidades similares. Un backdoor puede permitir tambin que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas nicamente al superusuario. Todo tipo de herramientas tiles para obtener informacin de forma ilcita pueden ser ocultadas mediante rootkits

Cuales son sus objetivos?

Tratan de encubrir a otros procesos que estn llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultar los puertos abiertos que delaten la comunicacin; o si hay un sistema para enviar spam, ocultar la actividad del sistema de correo. Los rootkits, al estar diseados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qu procesos estn ejecutndose, el rootkit mostrar informacin falsa, mostrando todos los procesos excepto l mismo y los que est ocultando. O si se intenta ver un listado de los ficheros de un sistema, el rootkit har que se muestre esa informacin pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde. Cuando el antivirus hagan una llamada al sistema operativo para comprobar qu ficheros hay, o cuando intente averiguar qu procesos

estn en ejecucin, el rootkit falsear los datos y el antivirus no podr recibir la informacin correcta para llevar a cabo la desinfeccin del sistema.

Cmo prevenirnos?
Es necesario un sistema que vigile no nicamente la actividad de los archivos en el disco, sino que vaya ms all. En lugar de analizar los archivos byte a byte, debe vigilarse lo que hacen al ejecutarse. Un rootkit necesita llevar a cabo algunas tareas que se podran considerar tpicas, como adquirir derechos de root, modificar llamadas bsicas al sistema operativo, falsear sistemas de reporte de datos del sistema Todas estas tareas, una a una, entraan poco peligro. Pero todas ellas, juntas y en el mismo momento, llevadas a cabo por el mismo programa, proporcionan informacin clara de que algo extrao est pasando en la computadora. Si las soluciones antivirus fracasan definitivamente a la hora de detectar un rootkit, las nuevas tecnologas de deteccin de amenazas por comportamiento tienen su mejor prueba de eficacia en la deteccin y bloqueo de rootkits. Estas tecnologas no basan su funcionamiento en condicionantes previamente aprendidos sobre patrones cerrados de identificacin de amenazas. Su xito se basa en la investigacin inteligente y automtica de la situacin de un proceso en una computadora. Cuando una serie de acciones se llevan a cabo sobre el sistema y todas ellas (o, al menos, alguna) pueden suponer un riesgo para la integridad de la informacin o el correcto funcionamiento de la mquina, se evalan una serie de factores que sirven para calificar la peligrosidad de esa tarea. Por ejemplo, que un proceso quiera tomar derechos de administracin en un sistema puede ser ms o menos habitual. Y tiene un cierto riesgo, sin duda, pero no hay que alertar por ello. Un simple instalador para un juego puede necesitar tener derechos de administrador para poder llevar a cabo las modificaciones necesarias y poder ejecutarse correctamente. O por ejemplo, es posible que un determinado proceso deba permanecer oculto, ya que no existe posibilidad de interaccin, o que un determinado proceso abra un puerto en concreto para comunicarse, o que registre pulsaciones de teclas. Pero todas esas caractersticas juntas hacen que el proceso se pueda considerar como

una amenaza y sea necesario un anlisis en profundidad para poder autorizar la ejecucin de manera segura.

Una vez infectado, qu hacer?

A pesar de lo que viene dicindose, los rootkits pueden eliminarse (aunque no tan fcilmente). Estos programas se autoprotegen escondindose y evitando que ningn otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria. La mejor manera de evitar que el proceso entre en accin, es evitar el arranque del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un disco diferente al del sistema infectado; como puede ser un CD. As, si el rootkit es conocido, podr eliminarse. Sin embargo, si el rootkit no es conocido (es decir, que ha sido desarrollado especficamente para un sistema en concreto), cualquier antivirus fracasar. En este caso, el problema informtico es casi el menos importante: hay una persona que, intencionadamente, quiere hacer dao a su empresa y se ha molestado en entrar en el sistema para perjudicarle. Existen varias herramientas Anti-Rootkits totalmente gratuitas que puede descargar directamente desde Infospyware para comprobar su sistema en busca de estos.

Recuerde que este espacio es netamente informativo, si tiene dudas, consultas, sugerencias o necesita ayuda personalizada y gratuita para eliminar cualquier tipo de programa malicioso, puede abrir un nuevo tema en nuestro Foro de InfoSpyware .