Tomado de Five tips for dealing with rootkits en Techrepublic Como mencioné en la introducción, un rootkit es un programa que busca dar acceso privilegiado, continuado, no autorizado a los recursos de un PC mientras permanece escondido de los usuarios o administradores. Una vez dentro del sistema son un reto detectarlos y eliminarlos, dado que su principal propósito es esconderse. La recomendación entonces es evitar que se introduzcan en primer lugar y para eso el autor Jack Wallen recomienda los siguientes tips. 1. Proteger las máquinas El primer paso es tener un software especializado, al autor recomienda rkhunter, para ser instalado en máquinas Linux y buscar los mencionados Rootkits. En caso de no ser amigo de Linux, también se pueden usar otros buscadores de Rootkits como AVG Anti Rootkit, o ComboFix. 2. Estar alerta ante las señales Los rootkits no dan señales directamente, pero si ud. recibe mensajes regularmente alertando que su red es fuente de cantidades masivas de Spam u observa comportamientos inusuales de su tráfico, probablemente su red tenga una botnet protegida por un Rootkit. Hay que estar familizarizado con el comportamiento normal del tráfico, de los servidores y conocer el sistema de archivos, para, por ejemplo, poder determinar que los archivos ejecutables del sistema han sido modificados recientemente. Obviamente, la mejor protección es ejecutar regularmente un programa como los mencionados en el punto 1. 3. Apáguelo Si se tiene certeza de que hay un rootkit, es indispensable apagarlo y remover cuanto antes los datos. Es muy probable que sea necesario reinstalar el sistema, así que lo mejor es guardar los datos, asegurarse que la fuente de la infección no está ahí. La mejor solución es sacar el d.d. a una máquina, preferiblemente no Windows y ejecutar un buen antivirus actualizado o anti root kit antes de copiar los datos a otro d.d.. 4. Nunca salga sin Tripwire Tripwire esta diseñado para monitorear cambios en archivos o directorios de un sistema particular. Los rootkits usualmente logran esconderse mediante la modificación de archivos o carpetas especiales del sistema. Ese tipo de comportamiento es típico y puede ser fácilmente detectable con herramientas como Tripwire, sin embargo, es crítico que se instale justo después de instalar el sistema operativo para asegurarse de que el registro que toma la aplicación es fiel imagen de los archivos del sistema original sin modificaciones. 5. Considere un vaciado de memoria Este es un método mucho más retador y usualmente se deja para verdaderos especialistas que tienen acceso a herramientas no públicas. Se puede forzar un vaciado del núcleo (kernel) o incluso un vaciado total de memoria y luego pasarlo por herramientas de depuración para observar todas las acciones llevadas a cabo en ese momento. Un rootkit no puede esconder sus acciones de un vaciado de memoria, sin embargo, a éstas alturas probablemente ya estemos dispuestos a migrar datos y reinstalar.
Prevención
|