¿Qué es un rootkit?

Un rootkit es un soft especializado en técnicas de ocultación, que va normalmente anexo a troyanos, virus, etc. Y cuya finalidad es, precisamente, que este tipo de software malicioso pase desapercibido. En este artículo veremos más a fondo este tipo de herramientas, y os diremos cómo saber si tenemos algo de esto instalado en nuestro sistema.

El termino rootkit proveniente del mundo linux/unix, en donde "root" (equivalente al usuario "administrador" de WinXP) es el máximo nivel de privilegios que se puede alcanzar. Los rootkit nacieron precisamente en este mundo. Con un rootkit es posible incluso sustituir las salidas de los comandos más habituales, inhabilitando herramientas que suelen ser esenciales para detectar actividades en la red que pudieran ser anómalas.


Rootkitrevealer

Esta herramienta está disponible, para descarga, en una página que ya es conocida por utiles programillas.

http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

El programa, que sólo pesa 270 Kb, tiene la habilidad de detectar varias clases de rootkit (persistent rootkit, memory bases rootkit, user-mode rootkit) y también puede ser encontrado en nuestra sección de descargas


La herramienta no requiere instalación, se puede ejecutar en modo gráfico y en modo comando. Para ejecutarla en modo gráfico es preciso hacer doble click sobre el archivo "Rootkitrevealer.exe". Durante el proceso es esencial que no hagamos ninguna actividad en el PC, y cerremos cualquier programa que estemos ejecutando en el ordenador, desactivando incluso el salvapantallas, ya que de otro modo los resultados que se presentan en pantalla pueden no ser correctos. Una vez comenzado el programa, éste presentará sus resultados, siendo posible que muestre archivos esenciales del sistema operativo, que mostrarán con un signo dólar ($) delante.

En realidad sólo son preocupantes los que no lleven este signo dólar y tengan el apartado "description", la leyenda Hidden From Windows API (ocultos a la API de Windows)

No todo lo que se va a presentar es, por tanto, un rootkit, ya que también hay software antivirus, que maneja técnicas de ocultación para la detección de malware. No obstante, esta herramienta nos puede dar una aproximación de lo que realmente tenemos metido en el PC. Si detectamos alguno de estos bichos, y no va precedido por el signo dólar, lo mejor es navegar hasta la carpeta en cuestión, (desactivando la opción de no mostrar archivos ocultos en Mi Pc > Herramientas). Si el archivo se presenta alli, pero no se presenta en el Explorador podría ser sintomatico de la presencia de un rootkit en nuestro PC.

Por ejemplo, un listado como éste es completamente normal obtenerlo y son archivos correspondientes al S.O.

$AttrDef
$BadClus
$BadClus:$Bad
$BitMap
$Boo
$LogFile
$Mft
$MftMirr
$Secure
$UpCase
$Volume
$Extend
$Extend\$Reparse
$Extend\$ObjId
$Extend\$UsnJrnl
$Extend\$Quota

Pero no sería normal por ejemplo, obtener este otro nombre de archivo,

HKLM\system\controlset001\enum\legacy_hackerdefenderdrv100

Vuelvo a repetir que hay que interpretar los resultados sin alarmismo, y que los archivos que van precedidos de un signo dólar son del sistema operativo, y no corresponden a rootkit. Para cualquier duda, es recomendable leerse la ayuda del programa que, aunque en inglés, es muy completa.

RKDetector

Quizás sea algo menos conocido que el anterior, pero es también una forma eficaz de detectar si tenemos instalado un rootkit en nuestro sistema. El archivo comprimido en zip tampoco requiere instalación, y es hasta más ligero, en cuanto a peso, que el que hemos comentado con anterioridad, puesto que solo ocupa unos 66 Kb.

El modo de uso es también diferente ya que va por linea de comandos, aunque su uso no es complicado: una vez descomprimido en una carpeta de nuestra elección, nos basta con navegar, mediante la linea de comandos, hasta la carpeta en la que lo hemos descomprimido y teclear la palabra rkdetector. El proceso de analisis dura también sólo unos segundos, y la interpretación de resultados es inmediata.

El programa comienza haciendo una análisis de todos los procesos que se están ejecutando en el sistema y que son visibles, para pasar, a continuación, a un análisis a los servicios y procesos que están ocultos al sistema. Cuando el programa finaliza su trabajo, despliega los resutados de esta manera:

-Searching again for Hidden Services..
-Gathering Service list Information... ( Found: 0 Hidden Services)
-Searching for wrong Service Paths.... ( Found: 1 wrong Services )
-----------------------------------------------------------------------
*SV: TVICHW32 (TVICHW32) PATH: e:\winnt\system32\drivers\tvichw32.sys
-----------------------------------------------------------------------
-Searching for Rootkit Modules........ ( Found: 0 Suspicious modules )
-Trying to detect hxdef with TCP data..Unable to load tcp.dll
-Searching for hxdef hooks............ ( Found: 0 running rootkits)
-Searching for other rootkits......... ( Found: 0 running rootkits)

La interpretación de la información que nos proporciona, creo que no puede ser más clara. En verde, los resultados del analisis que han resultado correctos y en rojo, todo aquello que no esté en orden.
La nueva versión de este programa, la podreís encontrar en su web

¿Qué hago si encuentro un rootkit?

Si detectamos un rootkit en el PC, no hay forma humana de saber a ciencia cierta lo que nos han hecho en el PC, por lo que la opción más recomendable es el formateo y la reinstalación en limpio. Hay que tener en cuenta que los rootkit son herramientas habitualmente utilizadas por los hackers para pasar despercibidos, por lo que nunca podremos saber a ciencia cierta, qué es lo que han hecho en nuestro sistema.