viernes, 25 de mayo de 2007

AVG Anti-Rootkit

Un rootkit es una herramienta, o un grupo de ellas usadas para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos como:
  • Linux
  • Solaris
  • Microsoft Windows

El término "rootkit" en sus orígenes hacía referencia a un grupo de herramientas recompiladas de Unix como ps, netstat, w o passwd que habiendo sido debidamente modificadas, ocultaban cualquier actividad del cracker. De este modo, el intruso podría mantener el control del sistema con privilegios de superusuario, pero quedando oculto a los ojos de los usuarios y administradores.

Actualmente, el término no está restringido a los sistemas operativos basados en Unix, ya que existen herramientas similares para otros sistemas como Windows (incluso para los sistemas operativos que no utilizan cuentas de root).

Un rootkit:

  • oculta inicios de sesión (logins), procesos, archivos y registros (logs).
  • Puede incluir software para interceptar datos procedentes de terminales, conexiones de red e incluso el teclado (keylogger).
  • Los rootkits son habitualmente considerados troyanos.

Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado.

  • Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto.
  • Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor
    puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario.
  • Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.
  • Los rootkits se utilizan también para usar el sistema atacado como "base de operaciones", es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema inflitrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).

Tipos de Rootkit

Los rootkits se pueden clasificar en dos grupos:

  • los que van integrados en el núcleo: Los rootkit que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procedimiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada. y
  • los que funcionan a nivel de aplicación: Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.

AVG Anti-Rootkit es una poderosa herramienta para la detección y remoción de rootkits. AVG Anti-Rootkit le da a usted el poder de encontrar y eliminar el rootkit y descubrir la amenaza si el rootkit está oculto.

Requisitos del Sistema
  • MS Windows 2000 (32-Bit) o MS Windows XP (32-Bit)
  • AVG Anti-Rootkit solo está disponible en English.
Su aspecto es el siguiente: