Un rootkit es un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root” que significa raíz (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa “kit” que significa conjunto de herramientas ( en referencia a los componentes de software que implementan este programa). El término “rootkit” tiene connotaciones negativas ya que se lo asocia al malware.
En otras palabras, usualmente se lo asocia con que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.
Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social).
Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización. Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo, ó , más comúnmente, a los programas del usuario.
La detección del rootkit es dificultosa pues es capaz de corromper al programa que debería detectarlo. Los métodos de detección incluyen utilizar un sistema operativo alternativo confiable; métodos de base conductual; controles de firma, controles de diferencias y análisis de volcado de memoria. La eliminación del rootkit puede ser complicada o prácticamente imposible, especialmente en los casos en que el rootkit reside en el nucleo; siendo a veces la reinstalación del sistema operativo el único método posible que hay para solucionar el problema.
Fuente WIKIPEDIA
¿Cuales son sus objetivos?
Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo.
Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.
O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.
Cuando el antivirus hagan una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguar qué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.
Como Detectarlos y Eliminarlo
Metodo 1Descarga Combofix (de sUBs) en tu Escritorio.
Haz doble clic en ComboFix.exe (bajo Vista, haz clic derecho sobre ComboFix.exe y selecciona Ejecutar como administrador).
Acepta la licencia.
El programa te preguntará si deseas instalar la Consola de recuperación. Es por precaución en caso de que tengas algúnproblema con tu sistema. Te recomiendo instalarla.
Cuando la operación haya terminado, aparecerá un reporte.
El reporte se encuentra en: %SystemDrive%\ComboFix.txt (%systemdrive% es la partición donde esta instalado Windows; por lo general C:\ )
Ver también: Cómo utilizar Combofix
Metodo 2
Descarga TDSSKiller en el Escritorio
Crea una nueva carpeta en el Escritorio y descomprime el archivo allí
Ejecuta el programa haciendo doble clic en "TDSSKiller.exe", el análisis se hace de manera automática, si la infección es detectada, los elementos ocultos (hidden) serán mostrados.
Luego seleccionalos y haz clic en "Delete/Repair Selected".
Puede aparecer un mensaje solicitándote reiniciar el PC (reboot) para terminar la limpieza, pulsa "Y" para reiniciar el PC ("close all programs and choose Y to restart").
Información adicional sobre esta herramienta Aquí
Verificar si se ha eliminado la infección
Se recomienda hacer un análisis en línea para comprobar que no existan aplicaciones infectadas.
Entra a la página del escáner Kaspersky en línea (con Internet Explorer)
Haz clic en Kaspersky Online Scanner
En la ventana que aparece, haz clic en Aceptar
Acepta los Controles ActiveX
Selecciona Mi PC para el análisis.
Una vez terminado el análisis, guarda el reporte en tu Escritorio.
Si necesitas ayuda, ver. Cómo escanear tu PC en línea con Kaspersky
Si el análisis en línea de Kaspersky no está disponible puedes utilizar Panda en línea o BitDefender:
Te recomiendo seguir estos pasos al pie de la letra para eliminar estas Amenazas que se instalan en tu ordenador sin que te des cuenta , ya que estos virus corrompen las aplicaciones para detectarlos y a veces la única solución es el formateo completo de la maquina
Espero que este post te sea de Gran Ayuda, Saludos...
Comentarios
Publicar un comentario
Gracias Por comentar tu Opinion es Importante Para mi