Sobre rootkits y anti-rootkits…

Los rootkits son programas que tienen la habilidad de ocultarse a sí mismos para evitar ser detectados, los ciberdelincuentes los suelen utilizar para ocultar sus malwares y mantener el control de los equipos infectados sin que las víctimas lo sospechen.

Muchos antivirus tienen la capacidad de detectar rootkits aunque no todos (ej: la versión Free de AVG), pero existen varios programas especializados que detectan y eliminan rootkits. Para Windows se podría destacar RootkitRevealer y por la facilidad de uso a F-Secure BlackLight (el programa actualmente se incluye en las suites del fabricante), pero existen muchas otras alternativas (ver listas al final).

Actualización: otra alternativa muy sencilla de utilizar es Malwarebytes Anti-Rootkit.

Linux tampoco se escapa de la acción de estos programas, de hecho el origen del término «rootkit» hace referencia a las herramientas que permiten el acceso como root en sistemas UNIX («root» = administrador; «kit» = herramientas). Para el sistema operativo del pinguino se podría destacar a Rootkit Hunter.

A continuación puedes ver una captura de F-Secure BlackLight en Windows Vista, como se puede apreciar su uso es muy intuitivo y en sólo 3 pasos el sistema estará analizado:

anti-rootkits
Cabe mencionar que estos programas no generan conflictos con el antivirus residente y no protegen el equipo de forma proactiva, simplemente lo analizan cuando lo indicamos.

Más información y lecturas recomendadas:

Rootkit / segu-info.com.ar
Evolución de los rootkits / viruslist.com
El rootkit del DRM de Sony / kriptopolis.org

Listas de anti-rootkits:

Lista completa de Anti-Rootkits / antirootkit.com
– 7 Anti-Rootkits recomendados / infospyware.com

15 comentarios en «Sobre rootkits y anti-rootkits…»

  1. El panda anti rootkit no anda con windows seven…yo utilizo sophos anti-rootkit,lo que no entiendo de los anti rootkit es que no se actualizan :S

    Responder
  2. @Carlos, gracias por el aviso.
    Ya lo tenía algo armado al post con un video que ví hace unos días en Alt-Tab.

    @Ferticidio, así es tienen uno. No estoy del todo seguro ahora y me da fiaca buscar la info… pero creo que desde hace un tiempo ya no lo ofrecían como herramienta, fue algo temporal, de todas formas el link para descargarlo desde AVG está… Brian lo dejó en un comentario.

    Un saludo.

    Responder
  3. AVG tiene un antirootkit gratuito muy efectivo… me ha solucionado un problemita que tenia en casa.
    Me da fiaca buscarlo pero esta por ahi.

    Responder
  4. @Graciela, no es trial, es completo :). Desde acá lo puedes bajar directamente al programa. Está algo complicado de encontrar el enlace, en el link que yo dejé en el artículo dice al final que para bajarlo hay que ir al centro de seguridad y luego recién ahí al final de todo está el link de descarga, abajo de un subtítulo que dice Downloads.

    @Lenis, muy cierto lo que dices.
    Gracias por las palabras, un gusto tenerte por acá.

    Saludos.

    Responder
  5. Yo particularmente uso en ESET Smart Security que viene con NOD32 integrado. Al parecer la mayoría de las soluciones de seguridad de pago viene con esa funcionalidad para detectar rootkit. Lo importante es que en este post dan una lista con varias opciones de detectores de rootkits. Yo creo que es muy importante tener mas de una herramienta de seguridad. Es decir revisar los equipos con mas de un anti-spyware, con mas de un anti-rootkit, quizás la tecnología de uno puede ser mas eficiente que otra.

    Tambien quiero reconocer el buen sitio que es Spamloco. Hace tiempo que lo sigo aunque apenas hace poco que comento. Espero seguir participando en los comentarios e ir aprendiendo muchas cosas por este medio. :)

    Saludos a todos y siempre a sus ordenes.

    Responder
  6. Gracias a vos Ale!, la verdad que en la interface de usuario no encuentro nada sobre anti-rootkits, puede que el análisis este incorporado de forma predeterminada.

    La verdad desconozco, pero sí, es cierto, según la página oficial de muchos de los antivirus más importantes dicen tenerlo integrado, así que no queda otra que creer en ellos.

    Saludos y suerte!, se feliz! y muchas gracias por el enlace con la tabla comparativa.

    Responder
  7. Gracias Brian por los links y por la ayuda a Lenis. Sabes que estuve viendo lo que mencionas de Panda, no conozco su interfáz de usuario, pero en su página según la tabla comparativa de sus productos… si tienen la función anti-rootkit (dejo el link).

    :)

    Lenis, buena pregunta… con esa frase doy a entender que pocos tienen cuando en realidad la mayoría, al menos de las marcas más reconocidas, tiene. Así que la edité recién, estos elementos cada vez son más utilizados por los atacantes, así que los antivirus tienen que usar tecnologías para detectarlos sí o sí.

    Te nombro algunos que detectan rootkits: Kaspersky, NOD32, Avast, las versiones de pago de AVG, Panda, Norton y Bitdefender tienen la capacidad de detectar estos elementos. Hay más, son los que se me ocurren ahora, pero generalmente en las páginas oficiales de los antivirus dice o hay listas comparativas como la que mencionaba recién de Panda.

    Responder
  8. Interesante artículo Alejandro!, ahora voy a tener que instalarme algún anti-rootkit jaja.

    Lenis, si miras la lista de anti-rootkit con los 7 recomendados podrás ver que si bien «AVG gratis» no trae un anti-rootkit, si ofrecen uno gratuito los de AVG, aquí la descarga

    Personalmente, he tenido la suerte de «ganar» en softonic una licencia gratuita de Panda Internet Security, y según he visto no tiene, así que para no «desentonar», me acabo de bajar el Panda anti-rootkit.

    Saludos y suerte!, sean felices :)

    Responder
  9. Saludos!

    Una pregunta para el autor de este post. Se menciono que el AVG gratis no tiene la capacidad para detectar rootkits. Podrian por favor mencionar cuales otros antivirus no tienen esa capacidad?

    Saludos

    Responder

Deja un comentario