root kit?

El tal 650MB en la fecha Jueves 16 Octubre 2003 04:15 escribio en
microsoft.public.es.windowsxp.seguridad el siguiente mensaje:

el caso es que ultimamente parece que fui victima de varios programas
no demasiado recomendables aparte de aparentes fallos en el NtBIOS lo
que unido a extraños comportamientos del XP me hizo reflexionar, para
colmo...

el otro dia me estuvieron metiendo algo de respeto sobre los root kit
dicha persona no me aclaro si estos engendros modifican DLLs o las
cambian o ni las usan! (me imagino que si...)

Si tuvieras un rootkit instalado, chequear los MD5 no te
serviría de nada, pues un rootkit convierte a un sistema
operativo en un "sistema mentiroso".

Los rootkit, son más propios del mundo UNIX, y constan de
un conjunto de herramientas, (rootKIT), entre ellas zappers,
backdoors, xploits locales, etc, etc), que tratan de asegurar
no sólo la troyanización de la máquina, si no también de que
esa troyanización no va a ser detectada por lo métodos
tradiccionales, (ps, netstat, who, ls, etc).

Por lo tanto, los RootKit son algo bastante más avanzado
que un vulgar troyano, ya que se instalan en el propio kernel
como un driver del sistema operativo, son capaces de interceptar
llamadas al sistema de tal forma que haga inutil la misión
de software tales como IDS de Host, antivirus y demás herramientas
de seguridad.

Un RootKit puede:

- Ocultar procesos del sistema operativo, de tal forma que sean
invisibles.

- Ocultar ficheros y directorios enteros del disco duro, de tal
que sea imposible ver los ficheros ocultos.

- Ocultar puertos abiertos y conexiones contra esos puertos.
Manipulando incluso las tablas de estadísticas TCP e IP.

- Y por supuesto pueden chulear cualquier sistema de seguridad
que haga chequeos MD5 o comprobaciones de integridad del propio
sistema operativo.

Una posible forma de saber si tienes un RootKit es arrancando con
un disquette de arranque, (de Windows o de Linux), y comprobar si
hay ficheros que no ves cuando tienes el Windows arrancado. Puedes
emplear un CD de knoppix por ejemplo.

También puedes utilizar un IDS de red instalado en otra máquina o
un sniffer, para comprobar si hay tráfico extraño entre tu máquina y
la red.

Los ficheros ocultos por un rootkit, suelen tener un prefijo en el
nombre, por ejemplo:

ntroot_nombrefichero.

De tal forma que todos los ficheros que comiencen con el nombre
"ntroot_" no serán visibles. El prefijo es configurable por el
instalador del rootkit.

En el mundo Windows, los rootkit, al meterse tanto con las
entrañas del sistema operativo, son muy dependientes de este,
de tal forma que un rootkit para NT, no vale para Windows 2000
o Windows XP.

Además, son mucho más complicados de desarrollar que un vulgar
troyano, por lo que hay muy pocos rootkit, a diferencia de los
troyanos, que hay miles de ellos. Cualquier adolescente sabe
programar un troyano, pero un rootkit para Windows es otra
historia muy diferente.

El único rootkit que conozco que existe para Windows, es el famoso
ntrootkit, y sólo funciona para Windows NT, y no es tan fácil
conseguirlo, pues tienes que pedirselo a sus autores dandoles tus
datos y explicandoles para qué lo quieres, es decir, es de un acceso
muchísimo más restringido que un troyano.

Es bastante improbable que tengas un rootkit. No creo que los
"juakers" españoles tengan acceso a un rootkit para XP, en realidad
no creo que lo tenga nadie. Para XP seguro que no.

Existe un artículo del grupo 2A69 que explica como con un módulo
cargable de Linux puedes interceptar ciertas llamadas al sistema
operativo Linux para hacer que el famoso "md5sum" te proporcione
resultados falsos. Probablemente eso ya no funcione con los kernels
nuevos.



Lokutus, asimilando la red.