root kit?

El tal 650MB en la fecha Jueves 16 Octubre 2003 04:15 escribio en
microsoft.public.es.windowsxp.seguridad el siguiente mensaje:

el caso es que ultimamente parece que fui victima de varios programas
no demasiado recomendables aparte de aparentes fallos en el NtBIOS lo
que unido a extraños comportamientos del XP me hizo reflexionar, para
colmo...

el otro dia me estuvieron metiendo algo de respeto sobre los root kit
dicha persona no me aclaro si estos engendros modifican DLLs o las
cambian o ni las usan! (me imagino que si...)

Si tuvieras un rootkit instalado, chequear los MD5 no te
serviría de nada, pues un rootkit convierte a un sistema
operativo en un "sistema mentiroso".

Los rootkit, son más propios del mundo UNIX, y constan de
un conjunto de herramientas, (rootKIT), entre ellas zappers,
backdoors, xploits locales, etc, etc), que tratan de asegurar
no sólo la troyanización de la máquina, si no también de que
esa troyanización no va a ser detectada por lo métodos
tradiccionales, (ps, netstat, who, ls, etc).

Por lo tanto, los RootKit son algo bastante más avanzado
que un vulgar troyano, ya que se instalan en el propio kernel
como un driver del sistema operativo, son capaces de interceptar
llamadas al sistema de tal forma que haga inutil la misión
de software tales como IDS de Host, antivirus y demás herramientas
de seguridad.

Un RootKit puede:

- Ocultar procesos del sistema operativo, de tal forma que sean
invisibles.

- Ocultar ficheros y directorios enteros del disco duro, de tal
que sea imposible ver los ficheros ocultos.

- Ocultar puertos abiertos y conexiones contra esos puertos.
Manipulando incluso las tablas de estadísticas TCP e IP.

- Y por supuesto pueden chulear cualquier sistema de seguridad
que haga chequeos MD5 o comprobaciones de integridad del propio
sistema operativo.

Una posible forma de saber si tienes un RootKit es arrancando con
un disquette de arranque, (de Windows o de Linux), y comprobar si
hay ficheros que no ves cuando tienes el Windows arrancado. Puedes
emplear un CD de knoppix por ejemplo.

También puedes utilizar un IDS de red instalado en otra máquina o
un sniffer, para comprobar si hay tráfico extraño entre tu máquina y
la red.

Los ficheros ocultos por un rootkit, suelen tener un prefijo en el
nombre, por ejemplo:

ntroot_nombrefichero.

De tal forma que todos los ficheros que comiencen con el nombre
"ntroot_" no serán visibles. El prefijo es configurable por el
instalador del rootkit.

En el mundo Windows, los rootkit, al meterse tanto con las
entrañas del sistema operativo, son muy dependientes de este,
de tal forma que un rootkit para NT, no vale para Windows 2000
o Windows XP.

Además, son mucho más complicados de desarrollar que un vulgar
troyano, por lo que hay muy pocos rootkit, a diferencia de los
troyanos, que hay miles de ellos. Cualquier adolescente sabe
programar un troyano, pero un rootkit para Windows es otra
historia muy diferente.

El único rootkit que conozco que existe para Windows, es el famoso
ntrootkit, y sólo funciona para Windows NT, y no es tan fácil
conseguirlo, pues tienes que pedirselo a sus autores dandoles tus
datos y explicandoles para qué lo quieres, es decir, es de un acceso
muchísimo más restringido que un troyano.

Es bastante improbable que tengas un rootkit. No creo que los
"juakers" españoles tengan acceso a un rootkit para XP, en realidad
no creo que lo tenga nadie. Para XP seguro que no.

Existe un artículo del grupo 2A69 que explica como con un módulo
cargable de Linux puedes interceptar ciertas llamadas al sistema
operativo Linux para hacer que el famoso "md5sum" te proporcione
resultados falsos. Probablemente eso ya no funcione con los kernels
nuevos.



Lokutus, asimilando la red.

jo veo que estás muy empollao del tema,gracias por las explicaciones tan
claras
menos mal que para los AS400 no hay tantos inventos



Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




XP Pro-2600-limpia+SP1

por favor
respuestas al grupo; asi nos beneficiamos todos
no se responde personalmente

saludos

Antonio
ms mvp windowsxp

"Lokutus" wrote in message
news:bmmegj$ocap6$

El tal 650MB en la fecha Jueves 16 Octubre 2003 04:15 escribio en
microsoft.public.es.windowsxp.seguridad el siguiente mensaje:

> el caso es que ultimamente parece que fui victima de varios programas
> no demasiado recomendables aparte de aparentes fallos en el NtBIOS lo
> que unido a extraños comportamientos del XP me hizo reflexionar, para
> colmo...
>
> el otro dia me estuvieron metiendo algo de respeto sobre los root kit
> dicha persona no me aclaro si estos engendros modifican DLLs o las
> cambian o ni las usan! (me imagino que si...)
>

Si tuvieras un rootkit instalado, chequear los MD5 no te
serviría de nada, pues un rootkit convierte a un sistema
operativo en un "sistema mentiroso".

Los rootkit, son más propios del mundo UNIX, y constan de
un conjunto de herramientas, (rootKIT), entre ellas zappers,
backdoors, xploits locales, etc, etc), que tratan de asegurar
no sólo la troyanización de la máquina, si no también de que
esa troyanización no va a ser detectada por lo métodos
tradiccionales, (ps, netstat, who, ls, etc).

Por lo tanto, los RootKit son algo bastante más avanzado
que un vulgar troyano, ya que se instalan en el propio kernel
como un driver del sistema operativo, son capaces de interceptar
llamadas al sistema de tal forma que haga inutil la misión
de software tales como IDS de Host, antivirus y demás herramientas
de seguridad.

Un RootKit puede:

- Ocultar procesos del sistema operativo, de tal forma que sean
invisibles.

- Ocultar ficheros y directorios enteros del disco duro, de tal
que sea imposible ver los ficheros ocultos.

- Ocultar puertos abiertos y conexiones contra esos puertos.
Manipulando incluso las tablas de estadísticas TCP e IP.

- Y por supuesto pueden chulear cualquier sistema de seguridad
que haga chequeos MD5 o comprobaciones de integridad del propio
sistema operativo.

Una posible forma de saber si tienes un RootKit es arrancando con
un disquette de arranque, (de Windows o de Linux), y comprobar si
hay ficheros que no ves cuando tienes el Windows arrancado. Puedes
emplear un CD de knoppix por ejemplo.

También puedes utilizar un IDS de red instalado en otra máquina o
un sniffer, para comprobar si hay tráfico extraño entre tu máquina y
la red.

Los ficheros ocultos por un rootkit, suelen tener un prefijo en el
nombre, por ejemplo:

ntroot_nombrefichero.

De tal forma que todos los ficheros que comiencen con el nombre
"ntroot_" no serán visibles. El prefijo es configurable por el
instalador del rootkit.

En el mundo Windows, los rootkit, al meterse tanto con las
entrañas del sistema operativo, son muy dependientes de este,
de tal forma que un rootkit para NT, no vale para Windows 2000
o Windows XP.

Además, son mucho más complicados de desarrollar que un vulgar
troyano, por lo que hay muy pocos rootkit, a diferencia de los
troyanos, que hay miles de ellos. Cualquier adolescente sabe
programar un troyano, pero un rootkit para Windows es otra
historia muy diferente.

El único rootkit que conozco que existe para Windows, es el famoso
ntrootkit, y sólo funciona para Windows NT, y no es tan fácil
conseguirlo, pues tienes que pedirselo a sus autores dandoles tus
datos y explicandoles para qué lo quieres, es decir, es de un acceso
muchísimo más restringido que un troyano.

Es bastante improbable que tengas un rootkit. No creo que los
"juakers" españoles tengan acceso a un rootkit para XP, en realidad
no creo que lo tenga nadie. Para XP seguro que no.

Existe un artículo del grupo 2A69 que explica como con un módulo
cargable de Linux puedes interceptar ciertas llamadas al sistema
operativo Linux para hacer que el famoso "md5sum" te proporcione
resultados falsos. Probablemente eso ya no funcione con los kernels
nuevos.



Lokutus, asimilando la red.

http://www.windowsecurity.com/artic...nment.html

"Antonio Amengual MSMVP" <amengualserraatono.com> wrote in message
news:utPY%

jo veo que estás muy empollao del tema,gracias por las explicaciones tan
claras
menos mal que para los AS400 no hay tantos inventos



Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.




XP Pro-2600-limpia+SP1

por favor
respuestas al grupo; asi nos beneficiamos todos
no se responde personalmente

saludos

Antonio
ms mvp windowsxp

"Lokutus" wrote in message
news:bmmegj$ocap6$
> El tal 650MB en la fecha Jueves 16 Octubre 2003 04:15 escribio en
> microsoft.public.es.windowsxp.seguridad el siguiente mensaje:
>
> > el caso es que ultimamente parece que fui victima de varios programas
> > no demasiado recomendables aparte de aparentes fallos en el NtBIOS lo
> > que unido a extraños comportamientos del XP me hizo reflexionar, para
> > colmo...
> >
> > el otro dia me estuvieron metiendo algo de respeto sobre los root kit
> > dicha persona no me aclaro si estos engendros modifican DLLs o las
> > cambian o ni las usan! (me imagino que si...)
> >
>
> Si tuvieras un rootkit instalado, chequear los MD5 no te
> serviría de nada, pues un rootkit convierte a un sistema
> operativo en un "sistema mentiroso".
>
> Los rootkit, son más propios del mundo UNIX, y constan de
> un conjunto de herramientas, (rootKIT), entre ellas zappers,
> backdoors, xploits locales, etc, etc), que tratan de asegurar
> no sólo la troyanización de la máquina, si no también de que
> esa troyanización no va a ser detectada por lo métodos
> tradiccionales, (ps, netstat, who, ls, etc).
>
> Por lo tanto, los RootKit son algo bastante más avanzado
> que un vulgar troyano, ya que se instalan en el propio kernel
> como un driver del sistema operativo, son capaces de interceptar
> llamadas al sistema de tal forma que haga inutil la misión
> de software tales como IDS de Host, antivirus y demás herramientas
> de seguridad.
>
> Un RootKit puede:
>
> - Ocultar procesos del sistema operativo, de tal forma que sean
> invisibles.
>
> - Ocultar ficheros y directorios enteros del disco duro, de tal
> que sea imposible ver los ficheros ocultos.
>
> - Ocultar puertos abiertos y conexiones contra esos puertos.
> Manipulando incluso las tablas de estadísticas TCP e IP.
>
> - Y por supuesto pueden chulear cualquier sistema de seguridad
> que haga chequeos MD5 o comprobaciones de integridad del propio
> sistema operativo.
>
> Una posible forma de saber si tienes un RootKit es arrancando con
> un disquette de arranque, (de Windows o de Linux), y comprobar si
> hay ficheros que no ves cuando tienes el Windows arrancado. Puedes
> emplear un CD de knoppix por ejemplo.
>
> También puedes utilizar un IDS de red instalado en otra máquina o
> un sniffer, para comprobar si hay tráfico extraño entre tu máquina y
> la red.
>
> Los ficheros ocultos por un rootkit, suelen tener un prefijo en el
> nombre, por ejemplo:
>
> ntroot_nombrefichero.
>
> De tal forma que todos los ficheros que comiencen con el nombre
> "ntroot_" no serán visibles. El prefijo es configurable por el
> instalador del rootkit.
>
> En el mundo Windows, los rootkit, al meterse tanto con las
> entrañas del sistema operativo, son muy dependientes de este,
> de tal forma que un rootkit para NT, no vale para Windows 2000
> o Windows XP.
>
> Además, son mucho más complicados de desarrollar que un vulgar
> troyano, por lo que hay muy pocos rootkit, a diferencia de los
> troyanos, que hay miles de ellos. Cualquier adolescente sabe
> programar un troyano, pero un rootkit para Windows es otra
> historia muy diferente.
>
> El único rootkit que conozco que existe para Windows, es el famoso
> ntrootkit, y sólo funciona para Windows NT, y no es tan fácil
> conseguirlo, pues tienes que pedirselo a sus autores dandoles tus
> datos y explicandoles para qué lo quieres, es decir, es de un acceso
> muchísimo más restringido que un troyano.
>
> Es bastante improbable que tengas un rootkit. No creo que los
> "juakers" españoles tengan acceso a un rootkit para XP, en realidad
> no creo que lo tenga nadie. Para XP seguro que no.
>
> Existe un artículo del grupo 2A69 que explica como con un módulo
> cargable de Linux puedes interceptar ciertas llamadas al sistema
> operativo Linux para hacer que el famoso "md5sum" te proporcione
> resultados falsos. Probablemente eso ya no funcione con los kernels
> nuevos.
>
>
>
> Lokutus, asimilando la red.
>

Gracias Lokutus, y Ramón exquisita información.


El Thu, 16 Oct 2003 17:48:02 +0200, Lokutus escribo:

El tal 650MB en la fecha Jueves 16 Octubre 2003 04:15 escribio en
microsoft.public.es.windowsxp.seguridad el siguiente mensaje:

el caso es que ultimamente parece que fui victima de varios programas
no demasiado recomendables aparte de aparentes fallos en el NtBIOS lo
que unido a extraños comportamientos del XP me hizo reflexionar, para
colmo...

el otro dia me estuvieron metiendo algo de respeto sobre los root kit
dicha persona no me aclaro si estos engendros modifican DLLs o las
cambian o ni las usan! (me imagino que si...)

Si tuvieras un rootkit instalado, chequear los MD5 no te
serviría de nada, pues un rootkit convierte a un sistema
operativo en un "sistema mentiroso".

Los rootkit, son más propios del mundo UNIX, y constan de
un conjunto de herramientas, (rootKIT), entre ellas zappers,
backdoors, xploits locales, etc, etc), que tratan de asegurar
no sólo la troyanización de la máquina, si no también de que
esa troyanización no va a ser detectada por lo métodos
tradiccionales, (ps, netstat, who, ls, etc).

Por lo tanto, los RootKit son algo bastante más avanzado
que un vulgar troyano, ya que se instalan en el propio kernel
como un driver del sistema operativo, son capaces de interceptar
llamadas al sistema de tal forma que haga inutil la misión
de software tales como IDS de Host, antivirus y demás herramientas
de seguridad.

Un RootKit puede:

- Ocultar procesos del sistema operativo, de tal forma que sean
invisibles.

- Ocultar ficheros y directorios enteros del disco duro, de tal
que sea imposible ver los ficheros ocultos.

- Ocultar puertos abiertos y conexiones contra esos puertos.
Manipulando incluso las tablas de estadísticas TCP e IP.

- Y por supuesto pueden chulear cualquier sistema de seguridad
que haga chequeos MD5 o comprobaciones de integridad del propio
sistema operativo.

Una posible forma de saber si tienes un RootKit es arrancando con
un disquette de arranque, (de Windows o de Linux), y comprobar si
hay ficheros que no ves cuando tienes el Windows arrancado. Puedes
emplear un CD de knoppix por ejemplo.

También puedes utilizar un IDS de red instalado en otra máquina o
un sniffer, para comprobar si hay tráfico extraño entre tu máquina y
la red.

Los ficheros ocultos por un rootkit, suelen tener un prefijo en el
nombre, por ejemplo:

ntroot_nombrefichero.

De tal forma que todos los ficheros que comiencen con el nombre
"ntroot_" no serán visibles. El prefijo es configurable por el
instalador del rootkit.

En el mundo Windows, los rootkit, al meterse tanto con las
entrañas del sistema operativo, son muy dependientes de este,
de tal forma que un rootkit para NT, no vale para Windows 2000
o Windows XP.

Además, son mucho más complicados de desarrollar que un vulgar
troyano, por lo que hay muy pocos rootkit, a diferencia de los
troyanos, que hay miles de ellos. Cualquier adolescente sabe
programar un troyano, pero un rootkit para Windows es otra
historia muy diferente.

El único rootkit que conozco que existe para Windows, es el famoso
ntrootkit, y sólo funciona para Windows NT, y no es tan fácil
conseguirlo, pues tienes que pedirselo a sus autores dandoles tus
datos y explicandoles para qué lo quieres, es decir, es de un acceso
muchísimo más restringido que un troyano.

Es bastante improbable que tengas un rootkit. No creo que los
"juakers" españoles tengan acceso a un rootkit para XP, en realidad
no creo que lo tenga nadie. Para XP seguro que no.

Existe un artículo del grupo 2A69 que explica como con un módulo
cargable de Linux puedes interceptar ciertas llamadas al sistema
operativo Linux para hacer que el famoso "md5sum" te proporcione
resultados falsos. Probablemente eso ya no funcione con los kernels
nuevos.

Jose Antonio Rodriguez Fdez.



Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.

Gracias Ramón, ahora ya veo a quien hay que rootkiterizar :-))



Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




XP Pro-2600-limpia+SP1

por favor
respuestas al grupo; asi nos beneficiamos todos
no se responde personalmente

saludos

Antonio
ms mvp windowsxp