Anti-rootkits

Un rootkit es una herramienta ó un grupo de ellas, que tiene como finalidad esconderse a sí mismo y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten a un ciberdelincuente mantener el acceso a un sistema para remotamente comandar acciones ó extraer información privada sensible. En principio los rootkits son un código que no es dañino por sí solo pero que usado conjuntamente con un virus, un troyano ó spyware resulta muy peligroso ya que puede ocultarlos, haciéndolos invisibles a muchos de los antivirus actuales.

Existen varias herramientas anti-rootkits y muchas especificas para un determinado rootkit. A continuación los 3 mejores programas anti-rootkits genéricos gratuitos en la actualidad y uno para detectar y eliminar la familia de rookits Rootkit.Win32.TDSS:

Sophos Anti-Rootkit

Exploración rootkit, detección y eliminación

El software gratuito, Sophos Anti-Rootkit escanea, detecta y elimina los rootkits que se ocultan en la computadora  usando la tecnología avanzada de detección de rootkits.

Los rootkits se pueden esconder en las computadoras y no ser detectados por el software antivirus. Aunque pueden evitarse que nuevos rootkits infecten el sistema, si tenía cualquier rootkits antes de instalar el antivirus, nunca van a ser revelados.

La eliminación de rootkits sin comprometer la integridad del sistema es particularmente difícil y que hay que hacer con cuidado.

Gestión simplificada

El uso de Sophos Anti-Rootkit es fácil. Si usted utiliza su sencilla interfaz gráfica de usuario o lo ejecuta desde la línea de comandos, es fácil detectar y eliminar los rootkits en la computadora.

Fácil de usar

Sophos Anti-Rootkit ofrece un nivel adicional de protección, de manera segura y fiable para detectar y eliminar cualquier rootkit que pudiera haberse ocultado en el sistema.

Requisitos del sistema

Sophos Anti-Rootkit trabaja en los siguientes sistemas operativos:

  • Windows 2000/XP/Vista/7
  • Windows Server 2003/2008
  • Plataformas de 64 bits
  • Sophos Anti-Rootkit requiere un mínimo de 128 MB de RAM.
  • Requiere instalación en el sistema a escanear

Para descargarlo requiere registro gratis en la web de Shopos proporcionando un email valido, así como su nombre y apellido

Enlace de descarga de Sophos anti_Rootkit

Trend Micro RootkitBuster

Debido a que se resisten a ser detectados por el software de seguridad, los rootkits pueden ser difíciles de remover una vez que llegan a una computadora Trend Micro RootkitBuster una aplicación gratuita que limpia los archivos ocultos, entrada de registro y los servicios. La última versión presenta un sistema de detección más sensible y no necesita instalación.

Trend Micro RootkitBuster puede encontrar rootkits verificando lo siguiente:

  • Master Boot Record (MBR)
  • Archivos
  • Entradas del registro
  • Parches de código para el kernel
  • Ganchos de servicio del sistema operativo
  • Secuencias de archivo
  • Drivers
  • Puertos
  • Procesos
  • Servicios

Trend Micro RootkitBuster puede eliminar un gran número y cada vez mayor de las variantes de rootkits. Trend Micro RootkitBuster es una utilidad gratuita, la cual  no requiere instalación con una interfaz con lo justamente necesario para realizar su trabajo.

Requisitos del sistema

Hardware

  • Intel Pentium ó procesador compatible
  • 256MB de RAM (512MB recommendado)
  • Al menos 50MB de disco duro disponible

Systema Operativo

  • Windows 2000 Professional/Server/Advance Server
  • Windows 2003 Standard/Web/Data Center/Enterprise Server
  • Windows XP Home/Professional con SP2 ó SP3
  • Windows Vista® con ó sin SP1
  • Windows 7 con ó sin SP1

Nota: Trend Micro RootkitBuster no se puede ejecutar en las versiones de 64 bits de estos sistemas operativos.

Enlace de descarga de Trend Micro RootkitBuster

GMER

GMER es una aplicación gratuita que detecta y elimina los dañinos rootkits. Es una herramienta que está orientada a usuarios de un nivel avanzado, GMER detecta: los procesos, servicios, archivos, módulos, entradas en el Registro y drivers ocultos en una computadora. Además también vigila la carga de drivers y librerías, la creación de procesos y las conexiones TCP/IP.

GMER es una utilidad gratuita muy efectiva, con una interfaz elemental la cual  no requiere instalación.

El programa busca con detalle en:

  • Procesos ocultos
  • Mensajes ocultos
  • Módulos ocultos
  • Servicios ocultos
  • Archivos ocultos
  • Sectores ocultos en el disco duro(MBR)
  • Alternate Data Streams ocultas
  • Claves del registro ocultas
  • Drivers de enganche SSDT
  • Drivers de enganche IDT
  • Drivers de enganche llamadas IRP
  • Ganchos en linea

Requisitos del sistema:

Windows NT/2000/XP/VISTA/7 (32/64/bit)

Enlace de descarga de GMER

Kaspersky TDSSKiller

Kaspersky TDSSKiller – la herramienta contra-rootkit y bootkit.

Un rootkit es un programa que oculta la presencia de malware en el sistema. En los sistemas operativos Windows, un rootkit es un programa que penetra al sistema e intercepta las funciones del sistema (Windows API). Un rootkit puede esconder su presencia en el sistema con éxito interceptando y modificando las funciones del API de nivel bajo. Además un rootkit suele ocultar ciertos procesos, directorios, archivos, y claves de registro. Muchos rootkits instalan sus driver y servicios (son “invisibles” también) al sistema.

Kaspersky Lab ha desarrollado la herramienta TDSSKiller que puede eliminar los rootkit conocidos (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned) y también desconocidos.

La herramienta tiene interfaz gráfica y soporta los sistemas operativos de 32 y 64 bit. Detecta el siguiente malware:

Malware de la familia Rootkit.Win32.TDSS :

  • Rootkit.Win32.TDSS
  • Rootkit.Win32.Stoned.d
  • Rootkit.Boot.Cidox.a
  • Rootkit.Boot.SST.a
  • Rootkit.Boot.Pihar.a,b
  • Rootkit.Boot.MyBios.b
  • Rootkit.Win32.TDSS.mbr
  • Rootkit.Win32.ZAccess.c,e,f,g,h,i,j,aml
  • Rootkit.Boot.SST.b
  • Rootkit.Boot.Fisp.a
  • Rootkit.Boot.Nimnul.a
  • Rootkit.Boot.Batan.a
  • Backdoor.Win32.Trup.a,b
  • Backdoor.Win32.Sinowal.knf,kmy
  • Backdoor.Win32.Phanta.a,b
  • Trojan-Clicker.Win32.Wistler.a,b,c
  • Virus.Win32.TDSS.a,b,c,d,e
  • Virus.Win32.Rloader.a
  • Virus.Win32.Cmoser.a
  • Virus.Win32.Zhaba.a,b,c.

 

Bootkits:

Un bootkit es un programa malicioso que infecta el Master Boot Record (MBR). Este método de infectar permite al bootkit ejecutarse antes de que se arranque el sistema operativo. Una vez que el BIOS (Basic Input Output System) selecciona el disco infectado (un disco duro o USB drive), el bootkit que reside en el MBR comienza ejecutar su código. Cuando el bootkit toma el control, se comienza preparar (lee y desencripta sus archivos auxiliares en su propio sistema de archivos que está creado en el espacio no alocado) y devuelve el control al boot loader legítimo vigilando todas las etapas del proceso de arranque.
La característica principal del bootkit es la incapacidad del sistema operativo de detectarlo porque todos sus componentes residen fuera del sistema de archivos Microsoft System Windows. Ciertos tipos de bootkits esconden que el MBR está infectado devolviendo la versión original del MBR al intentar leerlo.

Detecta los siguientes bootkit conocidos:

  • TDSS TDL4;
  • Sinowal (Mebroot, MaosBoot);
  • Phanta (Phantom, Mebratix);
  • Trup (Alipop);
  • Whistler;
  • Stoned,

Cómo desinfectar el sistema infectado usando TDSSKiller:

  • Descargue el archivo TDSSKiller.zip y extraiga sus contenidos en una carpeta en el equipo infectado (o sospeche este infectado) mediante un programa extractor de archivos comprimidos.
  • Ejecute el archivo TDSSKiller.exe;
  • La herramienta comienza buscar los objetos maliciosos/sospechosos en el sistema cuando hace un clic en el botón Start scan.
  • Espere hasta el fin del proceso de escaneo y desinfección. Puede ser necesario reiniciar el equipo después de desinfectarlo.
  • La herramienta detecta los siguientes objetos sospechosos:
    • Hidden service – una llave de registro escondida del listado estándar;
    • Blocked service – una llave de registro que no se puede abrir por los medios estándar;
    • Hidden file – un archivo en el disco duro escondido del listado estándar;
    • Blocked file – un archivo en el disco duro que no se puede abrir por los medios estándar;
    • Forged file – un intento de leer por los medios estándar devuelve el contenido original en cambio del actual.
    • Rootkit.Win32.BackBoot.gen – un MBR sospechado de contener un bootkit desconocido.

Es muy probable que tales anomalías en el sistema sean el resultado de la actividad de un rootkit. Todavía puede ser unas trazas de algún software legítimo.

  • Para realizar un análisis más profundo es necesario copiar el objeto detectado a la cuarentena por medio de la opción Copy to quarantine. El archivo no se eliminará en este caso!
  • Enviar los archivos guardados al Virus Lab o al VirusTotal.com.
  • Si el análisis profundo determina que los objetos son maliciosos en realidad, va a tener las siguientes opciones:
    • eliminar los objetos mediante la opción Delete;
    • restaurar el MBR (si el MBR es el problema) mediante la opción Restore.

Puede ser necesario reiniciar el equipo después de desinfectarlo.

Enlace de descarga de TDSSKiller

 

 

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 26 seguidores

%d personas les gusta esto: