Rootkits herramientas de búsqueda.
Aunque originalmente los rootkits eran empleados para escalar privilegios hasta el nivel de administrador (root, de ahí su nombre), en la actualidad y especialmente cuando hablamos de entornos Windows, su evolución los ha convertido típicamente en herramientas y mecanismos para tratar de ocultar la presencia de acciones maliciosas y/o diverso malware, desde virus hasta spyware, pasando por troyanos y otras lindezas.
Hablamos de ocultar procesos, ficheros, valores/cadenas del registro, puertas traseras, etc. Obviamente, entre sus objetivos está eludir la detección por parte de antivirus, soft antispy y otro tipo de escáneres, de manera que no es extraño verles actuar reemplazando utilidades comunes del sistema (telnet, netstat…), incluso los backups que de ellas tengamos, o valiéndose de inyección de código/dll, de manera que en cualquier caso, suelen ser difíciles de detectar y, por tanto, de erradicar.
DLLs
Como es sabido, las DLLs –Dynamic Link Library o bibliotecas de vínculos dinámicos- son librerías compartidas, es decir, en lugar de incluir código común en cada uno de los programas, resulta más práctico reciclarlo, de manera que funciones comunes se almacenan en ficheros aparte -las DLLs- y son cargadas al correr dichos programas u otras dlls.
Esa en principio es la idea y su uso completamente normal. Sin embargo, con el tema de la dll/code injection maliciosa básicamente hablamos de insertar código en el espacio de memoria de otros programas, hacerles cargar una dll de origen malicioso o inyectarla en procesos abiertos (DLL Hooking), consiguiendo así pasar impunemente barreras como las de nuestros cortafuegos.
Hay diversas herramientas amigas que pueden ayudarnos en la búsqueda de rootkits; algunas puede que áridas de uso, pero otras -aunque igualmente permitan el uso desde línea de comandos- se acompañan de interfaz gráfica, más apetecible para el usuario medio.
Cómo detectar un rootkit
No siempre es fácil saber si hay un rootkit en un dispositivo; al fin y al cabo, se trata de una clase de malware diseñada específicamente para pasar desapercibida. Para complicar aún más la situación, los rootkits pueden deshabilitar el software de seguridad instalado por el usuario. Cuando un rootkit llega a un sistema, llega para quedarse un largo tiempo. Y, en ese tiempo, puede provocar serios daños.
¿Cómo puedes saber si hay un rootkit en tu dispositivo? Existen algunos indicios que revelan su presencia:
1. Pantallazos azules
Windows te muestra una gran cantidad de errores o de “pantallazos azules” (pantallas de fondo azul con texto en blanco) y necesitas reiniciar el equipo con mucha frecuencia.
2. Comportamientos inusuales en el navegador web
Los vínculos te redirigen a sitios extraños o encuentras marcadores que no recuerdas haber agregado.
3. Problemas de rendimiento
El dispositivo tarda mucho en iniciarse, funciona más lento que de costumbre o deja de responder a menudo. Puede suceder, asimismo, que el sistema ignore las órdenes que le des con el teclado o con el mouse.
4. Cambios no autorizados en los ajustes de Windows
Notas que, aunque no has cambiado ningún ajuste, el fondo de pantalla no es el que tú definiste, la barra de tareas se oculta automáticamente o la fecha y la hora no son las correctas.
5. Problemas de funcionamiento en las páginas web
Las páginas web o las interfaces de red funcionan esporádicamente o no dan abasto con la cantidad de tráfico.
El mejor modo de encontrar un rootkit es realizar una búsqueda o análisis antirootkits con una solución antivirus. Si sospechas que tu computadora está infectada, apágala y, para verificar la infección, analízala utilizando un sistema que sepas no esté infectado.
El análisis de comportamientos también puede dar con este tipo de malware. En este tipo de análisis, lo que se busca no es el rootkit en sí mismo, sino comportamientos que caracterizan a esta clase de software. Los análisis antirootkits son eficaces cuando ya ha habido cambios notorios en el funcionamiento del sistema; los análisis de comportamientos, en cambio, pueden revelar la presencia de un rootkit antes de que la infección se haya vuelto evidente.
Cómo eliminar un rootkit
Eliminar un rootkit es una tarea compleja. Por lo general, requiere de herramientas especiales, como la utilidad TDSSKiller de Kaspersky, que puede detectar y eliminar el rootkit TDSS. A veces, el único modo de erradicar una infección profunda es desinstalar el sistema operativo y comenzar nuevamente de cero.
Cómo eliminar un rootkit en Windows
Por lo general, el primer paso para eliminar un rootkit desde Windows es realizar un análisis. Las infecciones profundas solo pueden eliminarse reinstalando el sistema operativo. Si tienes que recurrir a esta vía, no utilices el instalador que viene incluido en Windows: utiliza un disco de instalación externo. Si la BIOS está infectada, necesitarás la ayuda de un técnico profesional.
Herramienta Avast Rootkit Scanner
Herramienta Avast Rootkit Scanner es potente para detectar y eliminar rootkits del análisis de firmas del sistema. El análisis de volcado de memoria y la búsqueda de memoria del sistema son algunas de las características. Este programa también realiza un seguimiento de todas las llamadas de biblioteca DLL (Bibliotecas de enlace dinámico) que se importan.
Cuenta con un completo sistema de generación de informes que le permite ver los resultados de los análisis actuales y anteriores y los informes de alerta por correo electrónico después de cada análisis.
No solo una computadora, sino que también puede eliminar el rootkit de un dispositivo móvil Android o iOS usando Avast.
MalwareFox Rootkit Removal Tool
MalwareFox Rootkit Removal Tool utiliza su biblioteca de rootkits basada en la nube; comprueba el sistema en busca de todo tipo de rootkits. Advanced rootkits, tal as keyloggers, también pueden ser detectados. Puede detectar y eliminar todo tipo de rootkits y cerrar cualquier puerta trasera que los piratas informáticos puedan estar utilizando para acceder a su computadora.
Su base de datos también se actualiza periódicamente para garantizar una seguridad óptima.
Rootkit Removal esta disponible para Windows / Mac / Android / iPhone / iPad
Sophos Scan & Clean
Sophos Scan & Clean es una herramienta útil que detecta y elimina rootkits rápidamente.
Esta herramienta utiliza principalmente análisis de comportamiento (examina el comportamiento de cada archivo y aplicación), y si algún archivo o programa actúa de manera similar a los rootkits, se eliminará de inmediato.
Incluso protege las claves de registro y las ubicaciones de los archivos para que no vuelvan a infectarse.
Malwarebytes
Detecta y elimina troyanos, gusanos, adware, spyware y otros tipos de malware de hora cero y conocidos. Este programa examina la integridad de la memoria del kernel y alerta al usuario sobre cualquier problema potencial. Le permite escanear su sistema en busca de rootkits con un solo clic. Esto también lo mantendrá seguro en línea mientras mantiene su computadora funcionando sin problemas.
RootkitRevealer
La herramienta gratuita de Sysinternals para detección de rootkits, RootkitRevealer.
RootkitRevealer es una utilidad avanzada de detección de rootkit. Se ejecuta en Windows XP (32 bits) y Windows Server 2003 (32 bits) y sus salidas enumeran las discrepancias de la API del registro y del sistema de archivos que pueden indicar la presencia de un rootkit en modo de usuario o en modo kernel. RootkitRevealer detecta correctamente muchos rootkits persistentes, incluidos AFX, Vanquish y HackerDefender (nota: RootkitRevealer no está diseñado para detectar rootkits como Fu que no intente ocultar sus archivos o claves del Registro). Si lo usa para identificar la presencia de un rootkit, háganoslo saber.
Además de escanear todas las unidades y el registro del sistema, se encarga -si así se lo indicamos, dejando marcado Hide standard NTFS Metadata files, dentro de Options– de bucear por los metadatos ocultos al Windows API en particiones NTFS, las ADS (Alternate Data Streams).
Su escaneo tarda bastante más en completarse que con la anterior herramienta, pero es más minucioso en su búsqueda de discrepancias en el registro y la API.
Por contra, no se observa que ofrezca alguna opción contra los ítems encontrados, más bien nos remiten a recopilar esos datos (File > Save) para proceder entonces con la búsqueda de información que confirme las sospechas y el método concreto de erradicación que cada caso requiera.
En parte comprensible, ya que bajo determinadas circunstancias, la existencia de rootkits puede suponer haber estado expuestos por períodos prolongados, siendo aconsejable en algunos casos guardar los datos relevantes y empezar de cero con un nuevo sistema por reinstalación.
AVG AntiVirus FREE
Analice y elimine rootkits y otro malware con la solución contra rootkits. Además, puede librarse de los rootkits más profundos con la función especial de Análisis al arranque. Es 100 % gratuita.
También podemos citar la ofrecida -de momento en estado beta- por parte de F-Secure, BlackLight.
– BlackLight de F-Secure.
Es un ejecutable que no precisa instalación, aplicable bajo W2000/XP/2003.
Se encarga de buscar procesos ocultos en nuestro sistema, pero también ficheros y carpetas ocultas en todas las unidades, de manera que cuando le deis al scan, preparaos para escuchar rascar a vuestros HDs, aunque es bastante rápida.
Mencionar que en caso de detectar algo sospechoso, después de que indaguemos sobre su procedencia, nos da la opción –sólo si fuera necesario, cuidado con extralimitarse– de renombrarlo (Rename) para, tras reiniciar, comprobar que el ítem aparezca visible, fácilmente accesible para su muestreo/eliminación y con el esperado renombrado.
Si tenéis fundadas sospechas de algo raro (altos consumos de CPU de origen anormal o desconocido, consumo aparentemente inexplicable del ancho de banda, etc.) y vuestros sistemas habituales de escaneo no detectan nada, no es mala idea –sin caer en paranoias, habiendo descartado antes las causas más frecuentes– que probéis con ellas, nunca se sabe.
Antes de terminar, conviene destacar que estas herramientas pueden tener utilidad -con suerte- a posteriori, pero lo deseable es, directamente, evitar la implantación.
Es por ello que programas de control activo como SSM y otro tipo de monitorizaciones residentes (algunas incluidas de serie en cortafuegos, caso del Kerio v4), son cada vez más recomendables.
Se tiende hacia modelos sandbox, creando un entorno donde la ejecución de código esté restringida (aunque a medida que esta restricción aumenta, más puede limitar a los propios programas) o bien emulando entornos y estudiando el comportamiento del código para decidir sobre su grado de sospecha, práctica cada vez más empleada por los antivirus (NOD32, Norman, etc.).