Inicio

Anti-rootkits


Un rootkit es una herramienta ó un grupo de ellas, que tiene como finalidad esconderse a sí mismo y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten a un ciberdelincuente mantener el acceso a un sistema para remotamente comandar acciones ó extraer información privada sensible. En principio los rootkits son un código que no es dañino por sí solo pero que usado conjuntamente con un virus, un troyano ó spyware resulta muy peligroso ya que puede ocultarlos, haciéndolos invisibles a muchos de los antivirus actuales.

Existen varias herramientas anti-rootkits y muchas especificas para un determinado rootkit. A continuación los 3 mejores programas anti-rootkits genéricos gratuitos en la actualidad y uno para detectar y eliminar la familia de rookits Rootkit.Win32.TDSS:

Trend Micro RootkitBuster

rootkitbuster

Trend Micro ™ RootkitBuster es una herramienta gratuita que analiza archivos ocultos, entradas de registro, procesos, controladores y el registro de inicio maestro (MBR) para identificar y eliminar rootkits. La última versión de Trend Micro RootkitBuster cuenta con un sistema de detección aún más sensible.

Que hace

Debido a que se resisten a la detección de software de seguridad, los rootkits pueden ser difíciles de eliminar una vez que llegan a una computadora. Trend Micro ™ RootkitBuster puede encontrar rootkits comprobando lo siguiente:

  • Registro de arranque maestro (MBR)
  • Archivos
  • Entradas del registro
  • Parches de código del kernel
  • Ganchos de servicio del sistema operativo
  • Flujos de archivos
  • Conductores
  • Puertos
  • Procesos
  • Servicios

Al limpiar o eliminar archivos ocultos, entradas de registro y servicios, Trend Micro RootkitBuster puede eliminar un número cada vez mayor de variantes de rootkit.

Requisitos del sistema

Hardware

  • Procesador Intel® Pentium ™ o compatible
  • 256 MB de RAM (se recomienda 512 MB)
  • Al menos 50 MB de espacio disponible en disco

Sistema operativo

  • Servidor Windows® 2000 Professional / Server / Advance
  • Windows® 2003 Standard / Web / Centro de datos / Enterprise Server
  • Windows® XP Home / Professional con Service Pack 2 o 3 (SP2 o SP3)
  • Windows Vista® con o sin Service Pack 1 (SP1)
  • Windows® 7

Nota: En el enlace de descarga escoja la version adecuada (32 ó 64 bit)para su sistema operativo.

Enlace de descarga de Trend Micro RootkitBuster

GMER

gmer

GMER es una aplicación gratuita que detecta y elimina los dañinos rootkits. Es una herramienta que está orientada a usuarios de un nivel avanzado, GMER detecta: los procesos, servicios, archivos, módulos, entradas en el Registro y drivers ocultos en una computadora. Además también vigila la carga de drivers y librerías, la creación de procesos y las conexiones TCP/IP.

GMER es una utilidad gratuita muy efectiva, con una interfaz elemental la cual  no requiere instalación.

El programa busca con detalle en:

  • Procesos ocultos
  • Mensajes ocultos
  • Módulos ocultos
  • Servicios ocultos
  • Archivos ocultos
  • Sectores ocultos en el disco duro(MBR)
  • Alternate Data Streams ocultas
  • Claves del registro ocultas
  • Drivers de enganche SSDT
  • Drivers de enganche IDT
  • Drivers de enganche llamadas IRP
  • Ganchos en linea

Requisitos del sistema:

 Windows NT/W2K/XP/VISTA/7/8/10 (32/64/bit)

Enlace de descarga de GMER

Kaspersky TDSSKiller

Kaspersky TDSSKiller – la herramienta contra-rootkit y bootkit.

Un rootkit es un programa que oculta la presencia de malware en el sistema. En los sistemas operativos Windows, un rootkit es un programa que penetra al sistema e intercepta las funciones del sistema (Windows API). Un rootkit puede esconder su presencia en el sistema con éxito interceptando y modificando las funciones del API de nivel bajo. Además un rootkit suele ocultar ciertos procesos, directorios, archivos, y claves de registro. Muchos rootkits instalan sus driver y servicios (son “invisibles” también) al sistema.

Kaspersky Lab ha desarrollado la herramienta TDSSKiller que puede eliminar los rootkit conocidos (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned) y también desconocidos.

La herramienta tiene interfaz gráfica y soporta los sistemas operativos de 32 y 64 bit. Detecta el siguiente malware:

Malware de la familia Rootkit.Win32.TDSS :

  • Rootkit.Win32.TDSS
  • Rootkit.Win32.Stoned.d
  • Rootkit.Boot.Cidox.a
  • Rootkit.Boot.SST.a
  • Rootkit.Boot.Pihar.a,b
  • Rootkit.Boot.MyBios.b
  • Rootkit.Win32.TDSS.mbr
  • Rootkit.Win32.ZAccess.c,e,f,g,h,i,j,aml
  • Rootkit.Boot.SST.b
  • Rootkit.Boot.Fisp.a
  • Rootkit.Boot.Nimnul.a
  • Rootkit.Boot.Batan.a
  • Backdoor.Win32.Trup.a,b
  • Backdoor.Win32.Sinowal.knf,kmy
  • Backdoor.Win32.Phanta.a,b
  • Trojan-Clicker.Win32.Wistler.a,b,c
  • Virus.Win32.TDSS.a,b,c,d,e
  • Virus.Win32.Rloader.a
  • Virus.Win32.Cmoser.a
  • Virus.Win32.Zhaba.a,b,c.

 

Bootkits:

Un bootkit es un programa malicioso que infecta el Master Boot Record (MBR). Este método de infectar permite al bootkit ejecutarse antes de que se arranque el sistema operativo. Una vez que el BIOS (Basic Input Output System) selecciona el disco infectado (un disco duro o USB drive), el bootkit que reside en el MBR comienza ejecutar su código. Cuando el bootkit toma el control, se comienza preparar (lee y desencripta sus archivos auxiliares en su propio sistema de archivos que está creado en el espacio no alocado) y devuelve el control al boot loader legítimo vigilando todas las etapas del proceso de arranque.
La característica principal del bootkit es la incapacidad del sistema operativo de detectarlo porque todos sus componentes residen fuera del sistema de archivos Microsoft System Windows. Ciertos tipos de bootkits esconden que el MBR está infectado devolviendo la versión original del MBR al intentar leerlo.

Detecta los siguientes bootkit conocidos:

  • TDSS TDL4;
  • Sinowal (Mebroot, MaosBoot);
  • Phanta (Phantom, Mebratix);
  • Trup (Alipop);
  • Whistler;
  • Stoned,

Cómo desinfectar el sistema infectado usando TDSSKiller:

  • Descargue el archivo TDSSKiller.zip y extraiga sus contenidos en una carpeta en el equipo infectado (o que sospeche esta infectado) mediante un programa extractor de archivos comprimidos.
  • Ejecute el archivo TDSSKiller.exe;
  • La herramienta comienza buscar los objetos maliciosos/sospechosos en el sistema cuando hace un clic en el botón Start scan.
  • Espere hasta el fin del proceso de escaneo y desinfección. Puede ser necesario reiniciar el equipo después de desinfectarlo.
  • La herramienta detecta los siguientes objetos sospechosos:
    • Hidden service – una llave de registro escondida del listado estándar;
    • Blocked service – una llave de registro que no se puede abrir por los medios estándar;
    • Hidden file – un archivo en el disco duro escondido del listado estándar;
    • Blocked file – un archivo en el disco duro que no se puede abrir por los medios estándar;
    • Forged file – un intento de leer por los medios estándar devuelve el contenido original en cambio del actual.
    • Rootkit.Win32.BackBoot.gen – un MBR sospechado de contener un bootkit desconocido.

Es muy probable que tales anomalías en el sistema sean el resultado de la actividad de un rootkit. Todavía puede ser unas trazas de algún software legítimo.

  • Para realizar un análisis más profundo es necesario copiar el objeto detectado a la cuarentena por medio de la opción Copy to quarantine. El archivo no se eliminará en este caso!
  • Enviar los archivos guardados al Virus Lab o al VirusTotal.com.
  • Si el análisis profundo determina que los objetos son maliciosos en realidad, va a tener las siguientes opciones:
    • eliminar los objetos mediante la opción Delete;
    • restaurar el MBR (si el MBR es el problema) mediante la opción Restore.

Puede ser necesario reiniciar el equipo después de desinfectarlo.

Enlace de descarga de TDSSKiller

 

 

A %d blogueros les gusta esto: