Así funcionan los rootkits

0 248
Escrito por Guillermo

Últimamente ando peleando con rootkits, es algo bastante nuevo para mí y la verdad que virus/rootkits como los   trojan.downloader se están volviendo tremendamente dificiles de eliminar en un sistema infectado.

La enciclopedia libre dice: Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos.

Traducción: Un rootkit es una de las herramientas más hijas de puta de la informática.rootkit

 

Buscando un poco más de info, me encuentro con esta entrevista a Steve Gibson.

(traducción con errores, creditos a quien escribe)

Lo que hace  es, esencialmente, modificar la forma en que el sistema operativo en sí funciona. Comprometiendo al Kernel, como sabràs, en la terminología del sistema operativo tenemos la noción de un núcleo, que es el sistema operativo básico.

Y, a continuación, usted contará con aplicaciones que se ejecutan como clientes de ese sistema operativo. Así, un programa que se está ejecutando como Corel Draw o Outlook o lo que sea, ese es un cliente del sistema operativo.

Bueno, también lo son los escáneres de spyware.

Así que cuando el que se está ejecutando incluso un escáner de spyware se comunica  con el sistema operativo, por ejemplo, con dos llamadas a la API que piden “encontrar primer archivo” y “encontrar siguiente archivo.”

Así que, si quiere hacer un listado de directorio, le pide “encontrar *.*,” primer archivo y el OS le devuelve el primer archivo. Y luego, sucesivamente, le pide “encontrar próximo”, “encontrar el próximo”, hasta que no devuelve más archivos, un trabajo simple para el sistema operativo, en definitiva, eso sucede cuando alguna aplicacion escanea en busca de archivos infectados.

Bueno, imagine si algo altera la manera en que la funciona “encontrar primero” y “buscar siguiente”, de modo que algo intercepte la comunicación aplicación – sistema operativo . De repente cualquier programa ejecutándose en el sistema operativo no verá ninguna de los archivos que ese “algo” quiera, a ese “algo” le llamamos rootkit, y a los arhchivos escondidos, archivos “rootkiteados”

Hay un frase muy interesante en en.wikipedia al respecto:

La reacción típica de un Sysadmin experimentado cuando encuentra un sistema rootkiteado es guardar todos los datos, formatear y reinstalar el OS, esto es porque es conocido que muchos rootkits no pueden ser completamente eliminados.

Soy un fanático de la tecnología sin título que trabaja en informática hace mas de 10 años y que ama escribir de sus experiencias y divagues. Mira mis artículos y Seguime en Twitter :)

SIN COMENTARIOS

Deja un respuesta