Rootkits

emoji SWLos rootkits son un conjunto de herramientas que permiten a un intruso mediante privilegios administrativos ocultar procesos y/o archivos y de esa forma hacer que un malware permanezca inadvertido para el sistema operativo o incluso para el antivirus.

Por lo general, los rootkits son empleados para llevar adelante acciones maliciosas y existen una gran variedad de rootkits dependiendo del sistema operativo.

Como ser, un rootkits puede esconder una aplicación que se está ejecutando a través de un determinado puerto. Ocultar puertos abiertos. Mostrar informes falsos cuando el usuario o el antivirus solicitan información acerca de los procesos en ejecución.

Podemos encontrar 3 tipos de rootkits:

  • Kernel: modifican un código de un kernel. Pueden incluir drivers (Windows) o Loadable Kernel Modules (Linux).
  • Librerias: parches para librerias que remplazan las system call (llamadas al sistema) con versiones modificadas que permiten realizar las tareas deseadas.
  • Aplicación: reemplaza directamente los ejecutables del sistema con versiones troyanizadas o de comportamiento modificado.

Los rootkits son muy difíciles de detectar y eliminar (más en Linux). Para ello se requiere no solo analizar byte a byte cada archivo, sino también estudiar que hace cada proceso. Acciones como adquirir derechos de root, modificar llamadas básicas del sistema operativo, falsear reportes de datos son tareas usuales de estos malware pero también pueden ser acciones de otros programas inofensivos.

Por esta razón, los programas antivirus deben poseer herramientas inteligentes que permitan la detección de estos patrones de comportamientos, identificación y eliminación de estas amenazas.

malware SW

FUENTE: InfoSpyware

Compartir este contenido en...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter