¿Qué son los Rootkit? Cómo detectarlos y eliminarlos.

Para continuar con el tema de nuestra seguridad en el sistema operativo, vamos a ver a que se llama Rootkits y cómo buscarlos.

Que significa Rootkit?
Si desglosamos la palabra root: el superusuario, el usuario de mayor jerarquía del sistema operativo, el administrador del sistema; Y kit: conjunto, equipo, caja de herramientas.
Entonces, vamos a definir lo que es un rootkit: Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma, esconder otros programas, procesos, directorios, archivos, procesos, llaves de registro y puertos, que en definitiva permiten a usuarios no autorizados obtener información sensible o mantener y comandar remotamente nuestra computadora.

Existen rootkits para Linux únicamente?
No, tambien existen para Windows, Solaris y otros sistemas operativos.

Entre los tipos de rootkits que podemos encontrar veremos los más sencillos de detectar, que funcionan a nivel de aplicaciones, que muchas veces reemplazan a ejecutables o modifican las acciones de dichas aplicaciones.
Los que actúan a nivel de kernel, produciendo modificaciones en el código en forma intrínseca en cambio son mucho mas difíciles de detectar y suelen agregarse a través de drivers o nuevos módulos, lo que dificulta mucho su detección.

Ahora, si sospechamos que somos víctimas de una herramienta de este tipo, podemos detectarlo?
A nivel de sistema operativo existen aplicaciones (que veremos enseguida) que realizan la búsqueda de rootkits pero ningún sistema operativo en ejecución es confiable para la detección y lo conveniente es ejecutar desde un CD-Rom o pendrive alguna herramienta de detección ya que un rootkit en estado inactivo, en un sistema operativo detenido es fácil de detectar.

La mayoría de antivirus actuales agrega a sus bases de datos información sobre estos, pero, dependen muchas veces del estado en que se encuentra el rootkit para ser o no detectado, como dije arriba y para hacer mas entendible: si el rootkit está integrado en el kernel de nuestra máquina será muy difícil detectarlo, pasando a depender del antivirus y su confiabilidad de que pueda detectarlo en algún momento de “reposo” del rootkit.

En Windows podemos encontrar diversas aplicaciones como RootkitRevealer o Blacklight (gratuita, pero de uso online)

En Linux veremos que existen dos aplicaciones a las cuales podemos hechar mano para escanear nuestra computadora de vez en cuando:

Chkrootkit: Esta herramienta verifica cambios en archivos binarios, si la interface está en modo promiscuo, busca varios troyanos, borrado de diversos logs del sistema, archivos php sospechosos, ssh por fuerza bruta y varias cosas mas. Es una de las herramientas mas simples y buenas en cuanto a detección.

Para instalarlo solo debemos hacer en consola:
$ sudo apt-get install chkrootkit

Para ejecutarlo basta con:
$ sudo chkrootkit

Si queremos ejecutarlo en modo experto:
$ sudo chkrootkit -x

RootkitHunter: es muy similar a chkrootkit y complementa perfectamente su uso ya que también puede escanear archivos de texto, archivos ocultos y nos da una lista bastante larga de rootkits detectados.

Para instalar debemos descargar desde la página oficial el paquete tar.gz
Una vez descargado lo descomprimimos y ejecutamos el script de instalación:
$ tar xvfz rkhunter-1.3.2.tar.gz
$ sudo ./installer.sh --layout default --install

Podemos tambíen poner:

$sudo apt-get install rkhunter


Para ejecutarlo solo debemos hacer:
$ sudo rkhunter -c

Con lo que empieza la verificación, al terminar veremos un log que podemos leer en detalle en /var/log/rkhunter.log y nos da información mas detallada del análisis.

Por último, para actualizar la base de datos basta con un:
$ sudo rkhunter --update

Fuente:

http://www.laconsolablog.com/2008/09/15/seguridad-en-ubuntu-ii-rootkits/

4 comentarios - ¿Qué son los Rootkit? Cómo detectarlos y eliminarlos.

@CKsNecro +1
Entonces son como Spywares para Linux , lo que me reconforta que es mas fácil ganarse la lotería que toparse con uno de estos, sin embargo gracias por el Post, no esta de mas para tener precauciones.
@fernantarin
...mi pc queda mas tiempo que antes, en la pantalla donde da la opcion para entrar a la BIOS.
...tambien, vieron la barra que indica que esta cargando, en la pantalla window al inicio...esa barra, hasta las 40 no para, va y viene 40-42 veces...cuando antes eran solo 6, y ya arrancaba...tambien el sonido de inicio, suena luego de un momento en que ya se logran visualizar todos los elementos del escritorio...

...pasé el Ccleaner, antimalwareBit(encontro cerca de 11-13 elementos), tuneUp(unos cuantos consejos para mayor efectiidad) y avast(encontro alrededor de 9-15 elementos).

_ _ _luego del inicio tambien funcionaba lenta, pero esta parte del problema se soluciono desfragmentando, con tuneup (lo habia hecho con el q viene en window pero no veia ningun efecto luego de eso).

...y ademas Avast encontro alrededor de 7 rootkits(en sistem volumen32, algo asi decia), que ahora tengo idea de lo q son.

CUESTION! el inicio continua igual de lento