De todos es sabido que los sistemas operativos Windows son carne de cañón para alojar rootkits. Sí, de acuerdo, también es posible crearlos en otras plataformas, pero su etimología e impactos son diametralmente opuestos.
Viendo que McAfee planeaba emitir de forma gratuíta su herramienta Rootkit Detective, me he puesto a buscar información sobre antirootkits para Windows.
Estas herramientas son imprescindibles para cualquiera que vele por la seguridad de su sistema Windows. Permiten detectar procesos, ficheros y claves de registro ocultas. También proporciona información sobre los procesos que corren en el sistema, advierte de la presencia de hooks (System Service Descriptor Table, user/kernel Import/Export Address Table y otros hooks), permiten la eliminación de elementos maliciosos y detener los procesos considerados como sospechosos.
Desconozco si esa versión es la que anteriormente no era gratuíta, pero bueno, el que quiera puede descargar McAfee Rootkit Detective 1.0 y hacer las pruebas que considere oportunas. Lo que sí quiero recalcar es que esta herramienta debe ser manejada con cautela, ya que el registro de Windows no es precisamente lo que se diga muy resistente a manipulaciones inducidas por herramientas de este tipo, con lo cuidado, vaya que rompáis algo. Especial cuidado a la hora de interpretar los resultados de estos, programas. Leer con cautela la información que acompaña a cada anti-rootkit es obligatorio.
Otros programas para la lucha contra rootkits en Windows
- F-Secure Blacklight, de pago.
- TrendMicro Rootkit Buster, gratuito.
- Sophos Anti Rootkit, gratuito.
- IceSword, gratuíto.
- RKDetector, gratuíto.
- RootkitRevealer, gratuíto.
- Rootkit Unhooker, gratuíto, no lo he podido localizar (su página está caída en el momento de publicar esta lista)
Feliz cacería :)
Ya se hacía notar la falta de un artículo sobre herramientas anti-rootkits, yo he probado una solución de AVG, RootkitRevealer y F-Secure Blacklight, ninguno me encontró nada. Viendo en mi disco duro veo que también tengo una herramienta de Sophos pero no recuerdo haberla usado… a veces bajo demasiadas cosas, especialmente si son freeware.
Saludos.
Sergio en mi portal tengo un listado mas extendido de herramientas para combatir los RootKits
http://www.dragonjar.us/anti-bichos/anti-rootkit/
DragoN,
Gracias por el enlace. Así tenemos dos fuentes para poder descargar los programas :)
Un saludo, y buen trabajo con tu portal.
Los detectores de rootkits publicos mucho no sirven porque recuerdo haber visto versiones pagas de hxdef que los atacaban.
Aqui esta el Rootkit Unhooker http://rku.nm.ru, pero lo malo es que no van a sacar mas versiones publicas.
Todavía no consigo de donde descargar el «Rootkit Unhooker» Me volví loco y no lo encuentro, me dijeron que ése es el indicado para el problema que tengo en un juego, pero realmente no lo sé… Alguno que me lo pueda solucionar? Cual de todos los de la lista, por favor ayuda!
Me bajé el RootkitRevealer me ha detectado 9 en el registro pero no se pueden borrar, mi pregunta es la siguiente ya que el Sophos tambien me detecta 11 en el registro y la casilla para activar y borrar está en gris y no se puede activar,, y la pregunta es, puede que sea un falso-positivo?.
Por si teneis un momento os pego aqui lo que me ha mostrado el RootkitRevealer:
HKU\.DEFAULT\Control Panel\International 26/11/2008 0:56 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 26/11/2008 0:56 0 bytes Security mismatch.
HKU\S-1-5-21-602162358-1123561945-725345543-1003\Control Panel\International 26/11/2008 0:56 0 bytes Security mismatch.
HKU\S-1-5-21-602162358-1123561945-725345543-1003\Control Panel\International\Geo 26/11/2008 0:56 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International 26/11/2008 0:56 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 26/11/2008 0:56 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 18/3/2008 21:53 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 18/3/2008 21:53 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\ 19/11/2008 11:59 19 bytes Data mismatch between Windows API and raw hive data.
Gracias por todo
Un saludo
Miguel
Olaa , necesito ayuda , hace poco AVG Anti-Virus free Edition 2012 Encontró unos virus llamados : Rootkit , y bueno… Es que no los puedo quitar y me va bastante lentos los juegos y el ordenador . ¿Que tengo que descargar?¿Y como lo hago? Urgente por favor ;) Muchas gracias!! ;D