Pasos esenciales para definir y detectar un Rootkit

¿Qué es un Rootkit?

El Rootkit representa un conjunto de herramientas que se utilizan comúnmente por los denominados crackers o intrusos informáticos; para acceder de forma ilícita a un determinado sistema informático. El Rootkit se utiliza para ocultar procesos y archivos que permiten que el intruso tenga acceso al sistema; él cual frecuentemente tiene objetivos de carácter inseguro.

Existe una gran variedad de Rootkit para una diversidad de sistemas operativos, como ocurre con Microsoft, Linux, Solaris, entre otros. El Rootkit esconde una aplicación que envía una máquina; cada vez que se conecten al sistema por medio de un puerto determinado. El Rootkit del núcleo puede contener funciones muy parecidas

¿Cómo detectar un Rookit?

El Rootkit está diseñado para no ser percibido, razón por la cual no puede ser detectado con mucha facilidad. En el caso de que un usuario quiera analizar el sistema para determinar los procesos que se ejecutan, el Rootkit manifestará información falsa, publicando todas las actividades que está realizando, exceptuando todos los que ejecuta el mismo.

En el caso de que trate de observar el listado del sistema de archivos, el Rootkit mostrará la información; pero encubriendo la presencia de su propio archivo y las actividades que oculta. En el momento que el antivirus actúe, le advertirá al sistema operativo para determinar los archivos existentes o cuando trate de indagar los que se están ejecutando. El Rootkit simulará los datos; por lo que el antivirus no puede recibir la información exacta para proceder a desinfectar el sistema.

¿Qué hacer para evitarlo?

Es imprescindible tener un sistema que supervise no solamente las actividades que realizan los archivos en el disco del equipo; sino tratar de ir mucho más lejos. En vez de analizar los archivos paso a paso, debe chequear lo que realiza al ejecutarse.

El Rootkit necesita realizar algunas actividades que son consideradas como “frecuentes”; por ejemplo obtener derechos de ruta (root), asimismo cambiar las llamadas básicas al entorno del sistema operativo; simular al sistema de reporte de datos que tiene el sistema. Cada una de estas actividades suponen poco peligro.   Pero el valor agregado de todas en el mismo momento, ejecutadas por el mismo programa, suministra la información necesaria de que algo no muy común esta pasando en la máquina.

¿Cómo eliminarlo?

El Rootkit se puede eliminar, pero no es un proceso tan fácil. Este tipo de programa se autoprotege; para evitar que sea detectado por algún antivirus u otro proceso similar. Para que ese proceso pueda ocultarse, el mismo debe estar activado y funcionando en la memoria del equipo.

La forma adecuada para impedir que el Rootkit pueda desarrollarse, es paralizar el inicio del sistema operativo; específicamente en el disco duro, ya que en el mismo se localiza el Rootkit. Si se utiliza un disco distinto al que se encuentra en el sistema que está infectado; por ejemplo, un disco compacto o un disco externo; por lo que al reconocer el Rootkit este podrá ser eliminado.

Déjanos un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

SUSCRÍBASE A NUESTRO NEWSLETTER