¿QUE SON LOS ROOTKITS ?

CONCEPTO DE ROOTKITS
Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers con el objetivo de acceder ilícitamente a un sistema informático
Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares.

Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits
¿Cuales son sus objetivos?
Tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo. 
Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.
O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde.
Cuando el antivirus hagan una llamada al sistema operativo para comprobar qué ficheros hay, o cuando intente averiguar qué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema.

¿Cómo prevenirnos?
Es necesario un sistema que vigile no únicamente la actividad de los archivos en el disco, sino que vaya más allá. En lugar de analizar los archivos byte a byte, debe vigilarse lo que hacen al ejecutarse.
Un rootkit necesita llevar a cabo algunas tareas que se podrían considerar “típicas”, como adquirir derechos de root, modificar llamadas básicas al sistema operativo, falsear sistemas de reporte de datos del sistema… Todas estas tareas, una a una, entrañan poco peligro. Pero todas ellas, juntas y en el mismo momento, llevadas a cabo por el mismo programa, proporcionan información clara de que algo extraño está pasando en la computadora. Si las soluciones antivirus fracasan definitivamente a la hora de detectar un rootkit, las nuevas tecnologías de  detección de amenazas por comportamiento tienen su mejor prueba de eficacia en la detección y bloqueo de rootkits. Estas tecnologías no basan su funcionamiento en condicionantes previamente aprendidos sobre patrones cerrados de identificación de amenazas. Su éxito se basa en la investigación inteligente y automática de la situación de un proceso en una computadora.
Cuando una serie de acciones se llevan a cabo sobre el sistema y todas ellas (o, al menos, alguna) pueden suponer un riesgo para la integridad de la información o el correcto funcionamiento de la máquina, se evalúan una serie de factores que sirven para calificar la peligrosidad de esa tarea. Por ejemplo, que un proceso quiera tomar derechos de administración en un sistema puede ser más o menos habitual. Y tiene un cierto riesgo, sin duda, pero no hay que alertar por ello. Un simple instalador para un juego puede necesitar tener derechos de administrador para poder llevar a cabo las modificaciones necesarias y poder ejecutarse correctamente.
O por ejemplo, es posible que un determinado proceso deba permanecer oculto, ya que no existe posibilidad de interacción, o que un determinado proceso abra un puerto en concreto para comunicarse, o que registre pulsaciones de teclas. Pero todas esas características juntas hacen que el proceso se pueda considerar como una amenaza y sea necesario un análisis en profundidad para poder autorizar la ejecución de manera segura.
Una vez infectado, ¿qué hacer?
A pesar de lo que viene diciéndose, los rootkits pueden eliminarse (aunque no tan fácilmente). Estos programas se autoprotegen escondiéndose y evitando que ningún otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria.
La mejor manera de evitar que el proceso entre en acción, es evitar el arranque del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un disco diferente al del sistema infectado; como puede ser un CD. Así, si el rootkit es conocido, podrá eliminarse.
Sin embargo, si el rootkit no es conocido (es decir, que ha sido desarrollado específicamente para un sistema en concreto), cualquier antivirus fracasará. En este caso, el problema informático es casi el menos importante: hay una persona que, intencionadamente, quiere hacer daño a su empresa y se ha molestado en entrar en el sistema para perjudicarle.

Hay un buen programa para eliminar rootkits, TDSS killer, preo como dices, un buen backup de datos y archivos es imprescindible, ya que el programa limpia el bicho, pero los archivos encriptados y afectados por esta cabronada son irrecuperables.

https://www.infospyware.com/antirootkits/tdsskiller/

Excelente articulo sobe que son los ROOTKITS, ya me gustaría a mi saber ordenar tan bien las ideas y tener tan claros los conceptos.

SeñorX escribió:Excelente articulo sobe que son los ROOTKITS, ya me gustaría a mi saber ordenar tan bien las ideas y tener tan claros los conceptos.

Pues amigo señorx, yo estoy dispuesto a ayudarle en lo que tenga dudas, pero si quieres una mejor información, hay paginas web referentes a todos estos términos.

Saludos

tampoco necesito saturarme de información, con la sintesis tan clara y profesional que usted hace sobre el tema de los rootkits, porque como ya he dicho en otro post, no es necesario que un buen articulo está firmado por un autor de prestigio para ser riguroso y preciso, su articulo es la prueba. Si además me dice usted que es autodidacta, no un profesional titulado, pues es para quitarse el sombrero.

Bueno, por mi parte, a lo largo de mis experiencias en esto de la informtica desde sus albores, he aprendido a palos, para decirlo de alguna manera. También por estas épocas, cuando no existía todavía internet, ya había virus, por entonces difundidos por disquetes de algún programa, capaz de hacerte la pascua, capaz de anidarse en la BIOS de la compu, con lo cual te inutilizaba el equipo de forma definitiva hasta que se sustituía este chip físicamente.
Hoy en día los virus de este tipo por suerte ya no se usan tanto, cabronadas como los rootkits aparte, la gran mayoría de los actuales virus ni se se nota que se los tiene, quizás ralentizan algo el sistema, porque principalmente son diseñados para recopilar datos, las teclas que aprietas, tus contactos y cosas por el estilo, o también para convertir tu equipo en zombie, es decir que tu potencia de procesador y ancho de banda es aprovechado por otros.
Caso sonado es el del famoso servicio VPN Hola, que funciona muy bien y es gratis, pero lo que algunos usuarios no saben y lo viene explicado en las condiciones de uso, es que Hola, en vez de usar proxies públicos, usa los anchos de banda de sus usuarios, es decir con el peligro que alguien otro, que ha cometido un delito y por casualidad con Hola ha usado tu IP, los problemas los tendrás tu.

Zerg Rush escribió:Bueno, por mi parte, a lo largo de mis experiencias en esto de la informtica desde sus albores, he aprendido a palos, para decirlo de alguna manera. También por estas épocas, cuando no existía todavía internet, ya había virus, por entonces difundidos por disquetes de algún programa, capaz de hacerte la pascua, capaz de anidarse en la BIOS de la compu, con lo cual te inutilizaba el equipo de forma definitiva hasta que se sustituía este chip físicamente.
Hoy en día los virus de este tipo por suerte ya no se usan tanto, cabronadas como los rootkits aparte, la gran mayoría de los actuales virus ni se se nota que se los tiene, quizás ralentizan algo el sistema, porque principalmente son diseñados para recopilar datos, las teclas que aprietas, tus contactos y cosas por el estilo, o también para convertir tu equipo en zombie, es decir que tu potencia de procesador y ancho de banda es aprovechado por otros.
Caso sonado es el del famoso servicio VPN Hola, que funciona muy bien y es gratis, pero lo que algunos usuarios no saben y lo viene explicado en las condiciones de uso, es que Hola, en vez de usar proxies públicos, usa los anchos de banda de sus usuarios, es decir con el peligro que alguien otro, que ha cometido un delito y por casualidad con Hola ha usado tu IP, los problemas los tendrás tu.

Sobre esto ultimo que dices, que podríamos decir de un troll famoso en este foro, y en todos los que actualmente están en activo, que maneja miles de IPS, y que puede entrar. de hecho lo hace cuando quiere, en este,  y otros foros  varias veces al día con diferente IP. Se le expulsa y vuelve a entrar con otro nick y otra IP. y tengo la larga relacion de esas iPs que suman miles. Y me pregunto, uno que no sabe de eso que
de donde sacara tantas IPs, a quien se las roba, o que consecuencias para el que lo hace tiene todo eso. porque no cabe duda de que esas IPs son de alguien registrado en Internet que esta activo y registrado en la Red, y me pregunto otra vez, ¿como este troll lleva haciendo esto hace años, y nadie se ha dado cuenta?. no se.  

Saludos

De usar varios IP no es ningún arte, hay una lista larguísimas de servers públicos* de libre uso. Esto de banear a alguien con el IP hoy en día efectivamente no tiene mucho sentido. Vale más de hacerlo, usando su dirección de correo, aunque también puede tener varios, no puede tener tantos diferentes como direcciones IP. Los servicios de correos temporales son bien conocidos y de entrada rechazados para los registros en muchos sitios.

* p.ej.
https://hidemy.name/es/proxy-list/

barakarlofi escribió:
Sobre esto ultimo que dices, que podríamos decir de un troll famoso en este foro, y en todos los que actualmente están en activo, que maneja miles de IPS, y que puede entrar. de hecho lo hace cuando quiere, en este,  y otros foros  varias veces al día con diferente IP. Se le expulsa y vuelve a entrar con otro nick y otra IP. y tengo la larga relacion de esas iPs que suman miles. Y me pregunto, uno que no sabe de eso que
de donde sacara tantas IPs, a quien se las roba, o que consecuencias para el que lo hace tiene todo eso. porque no cabe duda de que esas IPs son de alguien registrado en Internet que esta activo y registrado en la Red, y me pregunto otra vez, ¿como este troll lleva haciendo esto hace años,  y nadie se ha dado cuenta?. no se.  

Saludos

Si, si, pero el articulo de los ROOTKITS es tuyo o no es tuyo? venga, di ya de donde lo has copiado

barakarlofi escribió:

Zerg Rush escribió:Bueno, por mi parte, a lo largo de mis experiencias en esto de la informtica desde sus albores, he aprendido a palos, para decirlo de alguna manera. También por estas épocas, cuando no existía todavía internet, ya había virus, por entonces difundidos por disquetes de algún programa, capaz de hacerte la pascua, capaz de anidarse en la BIOS de la compu, con lo cual te inutilizaba el equipo de forma definitiva hasta que se sustituía este chip físicamente.
Hoy en día los virus de este tipo por suerte ya no se usan tanto, cabronadas como los rootkits aparte, la gran mayoría de los actuales virus ni se se nota que se los tiene, quizás ralentizan algo el sistema, porque principalmente son diseñados para recopilar datos, las teclas que aprietas, tus contactos y cosas por el estilo, o también para convertir tu equipo en zombie, es decir que tu potencia de procesador y ancho de banda es aprovechado por otros.
Caso sonado es el del famoso servicio VPN Hola, que funciona muy bien y es gratis, pero lo que algunos usuarios no saben y lo viene explicado en las condiciones de uso, es que Hola, en vez de usar proxies públicos, usa los anchos de banda de sus usuarios, es decir con el peligro que alguien otro, que ha cometido un delito y por casualidad con Hola ha usado tu IP, los problemas los tendrás tu.

Sobre esto ultimo que dices, que podríamos decir de un troll famoso en este foro, y en todos los que actualmente están en activo, que maneja miles de IPS, y que puede entrar. de hecho lo hace cuando quiere, en este,  y otros foros  varias veces al día con diferente IP. Se le expulsa y vuelve a entrar con otro nick y otra IP. y tengo la larga relacion de esas iPs que suman miles. Y me pregunto, uno que no sabe de eso que
de donde sacara tantas IPs, a quien se las roba, o que consecuencias para el que lo hace tiene todo eso. porque no cabe duda de que esas IPs son de alguien registrado en Internet que esta activo y registrado en la Red, y me pregunto otra vez, ¿como este troll lleva haciendo esto hace años,  y nadie se ha dado cuenta?. no se.  

Saludos

¿Tienes algo escrito aquí sobre como funciona un proxy? No sé nada del tema y me interesa, quizá tú o Zerg podrían poner algunos artículos.

¿Cómo te "robas" una IP o cómo funciona? no entendí :oops: me refiero es ¿Cómo alguien hace eso? si yo uso una página como que la que pone Zerg ¿a quién pertenecen esas IP?

No entiendo.

Es bastante sencillo @Trinity, cuando te conectas a algun sitio, en este aparece tu IP, que es algo como la matrícula de tu coche y que te ha proporcionado la compañía con cual tienes el contrato.
Pero existen también servers públicos (proxies) con los cual te conectas con tu IP, pero ya que la conexión pasa sobre estos servers, que naturalmente tienen un IP distinto, la página que visitas ve entonces el IP de este server y no el tuyo, es decir no puede averiguar tu identidad a través del IP
Puedes usar también servicios VPN, que son servicios que reunen varios dervers para elegir, los gratuitos habitualmente entre 3-8 diferentes (Windscribe por ejemplo es un buen servicio) y suelen tener un límite de volumen de datos mensuales.
Estos normalmente también tienen servicios de pago, que ofrecen muchas más diferentes servers, más velocidad y un uso de datos más grande o incluso ilimitado.

El caso del mencionado Hola era, que esta compañia no usaba servers públicos, sino las propias de los usuarios de sus compañía, con lo cual, si usabas este servicio, tu número de IP puede aparecer en conexiones hecho por otros, lo que en caso que el otro usaba esta conexión para actos delictivos, te podía acarrear problemas a ti sin comer ni beberlo.
Por suerte no es habitual entre los demás servicios VPN, que prácticamente suelen usar servers públicos, situados en diversos países

Zerg Rush escribió:Es bastante sencillo @Trinity, cuando te conectas a algun sitio, en este aparece tu IP, que es algo como la matrícula de tu coche y que te ha proporcionado la compañía con cual tienes el contrato.
Pero existen también servers públicos (proxies) con los cual te conectas con tu IP, pero ya que la conexión pasa sobre estos servers, que naturalmente tienen un IP distinto, la página que visitas ve entonces el IP de este server y no el tuyo, es decir no puede averiguar tu identidad a través del IP
Puedes usar también servicios VPN, que son servicios que reunen varios dervers para elegir, los gratuitos habitualmente entre 3-8 diferentes (Windscribe por ejemplo es un buen servicio) y suelen tener un límite de volumen de datos mensuales.
Estos normalmente también tienen servicios de pago, que ofrecen muchas más diferentes servers, más velocidad y un uso de datos más grande o incluso ilimitado.

El caso del mencionado Hola era, que esta compañia no usaba servers públicos, sino las propias de los usuarios de sus compañía, con lo cual, si usabas este servicio, tu número de IP puede aparecer en conexiones hecho por otros, lo que en caso que el otro usaba esta conexión para actos delictivos, te podía acarrear problemas a ti sin comer ni beberlo.
Por suerte no es habitual entre los demás servicios VPN, que prácticamente suelen usar servers públicos, situados en diversos países

Me queda un poco más claro, nótese, el "poco", :D soy totalmente ignorante en el tema y tengo un interés especial.

Alarmante lo de "Hola" ¿aún funciona?

Nunca he usado estos servicios, a lo más el Opera que te cambia la ip, pero como mencioné en otro tema, en la computadora me causa conflicto al intentar entrar en foros de ForoActivo.

Trinity escribió:

Zerg Rush escribió:Es bastante sencillo @Trinity, cuando te conectas a algun sitio, en este aparece tu IP, que es algo como la matrícula de tu coche y que te ha proporcionado la compañía con cual tienes el contrato.
Pero existen también servers públicos (proxies) con los cual te conectas con tu IP, pero ya que la conexión pasa sobre estos servers, que naturalmente tienen un IP distinto, la página que visitas ve entonces el IP de este server y no el tuyo, es decir no puede averiguar tu identidad a través del IP
Puedes usar también servicios VPN, que son servicios que reunen varios dervers para elegir, los gratuitos habitualmente entre 3-8 diferentes (Windscribe por ejemplo es un buen servicio) y suelen tener un límite de volumen de datos mensuales.
Estos normalmente también tienen servicios de pago, que ofrecen muchas más diferentes servers, más velocidad y un uso de datos más grande o incluso ilimitado.

El caso del mencionado Hola era, que esta compañia no usaba servers públicos, sino las propias de los usuarios de sus compañía, con lo cual, si usabas este servicio, tu número de IP puede aparecer en conexiones hecho por otros, lo que en caso que el otro usaba esta conexión para actos delictivos, te podía acarrear problemas a ti sin comer ni beberlo.
Por suerte no es habitual entre los demás servicios VPN, que prácticamente suelen usar servers públicos, situados en diversos países

Me queda un poco más claro, nótese, el "poco", :D soy totalmente ignorante en el tema y tengo un interés especial.

Alarmante lo de "Hola" ¿aún funciona?

Nunca he usado estos servicios, a lo más el Opera que te cambia la ip, pero como mencioné en otro tema, en la computadora me causa conflicto al intentar entrar en foros de ForoActivo.

¿Y qué haces tú por esos foros de Dios (tan aburridos) teniendo este en el que te estamos esperando siempre como agua de mayo? Tienes que venir más a menudo porque este es el único foro que sobrevivirá a la hecatombe mundial que aniquilará el resto de foros.

Con respecto al tema del hilo, y para no hacer más OT ni fastidiarlo, yo estoy como tú porque no tengo ni idea de lo que hablan ni quiero enterarme.

Reciba un cordial saludo señorita.

zampabol escribió:

Trinity escribió:

Zerg Rush escribió:Es bastante sencillo @Trinity, cuando te conectas a algun sitio, en este aparece tu IP, que es algo como la matrícula de tu coche y que te ha proporcionado la compañía con cual tienes el contrato.
Pero existen también servers públicos (proxies) con los cual te conectas con tu IP, pero ya que la conexión pasa sobre estos servers, que naturalmente tienen un IP distinto, la página que visitas ve entonces el IP de este server y no el tuyo, es decir no puede averiguar tu identidad a través del IP
Puedes usar también servicios VPN, que son servicios que reunen varios dervers para elegir, los gratuitos habitualmente entre 3-8 diferentes (Windscribe por ejemplo es un buen servicio) y suelen tener un límite de volumen de datos mensuales.
Estos normalmente también tienen servicios de pago, que ofrecen muchas más diferentes servers, más velocidad y un uso de datos más grande o incluso ilimitado.

El caso del mencionado Hola era, que esta compañia no usaba servers públicos, sino las propias de los usuarios de sus compañía, con lo cual, si usabas este servicio, tu número de IP puede aparecer en conexiones hecho por otros, lo que en caso que el otro usaba esta conexión para actos delictivos, te podía acarrear problemas a ti sin comer ni beberlo.
Por suerte no es habitual entre los demás servicios VPN, que prácticamente suelen usar servers públicos, situados en diversos países

Me queda un poco más claro, nótese, el "poco", :D soy totalmente ignorante en el tema y tengo un interés especial.

Alarmante lo de "Hola" ¿aún funciona?

Nunca he usado estos servicios, a lo más el Opera que te cambia la ip, pero como mencioné en otro tema, en la computadora me causa conflicto al intentar entrar en foros de ForoActivo.

¿Y qué haces tú por esos foros de Dios (tan aburridos) teniendo este en el que te estamos esperando siempre como agua de mayo? Tienes que venir más a menudo porque este es el único foro que sobrevivirá a la hecatombe mundial que aniquilará el resto de foros.

Con respecto al tema del hilo, y para no hacer más OT ni fastidiarlo, yo estoy como tú porque no tengo ni idea de lo que hablan ni quiero enterarme.

Reciba un cordial saludo señorita.

Pero... si yo vengo todos los días... :( tú que no me ves.

A ver si no me pesca la hecatombe en el cruce de calles que ando haciendo de foro a foro :D

Ah! y del tema... igual que tú... pero tratando de entender, estos chicos saben mucho de estas cosas.

Saludos, Zampa!

Explicado de forma gráfica

http://sketchtoy.com/68278978

Trinity escribió:

zampabol escribió:

Trinity escribió:

Zerg Rush escribió:Es bastante sencillo @Trinity, cuando te conectas a algun sitio, en este aparece tu IP, que es algo como la matrícula de tu coche y que te ha proporcionado la compañía con cual tienes el contrato.
Pero existen también servers públicos (proxies) con los cual te conectas con tu IP, pero ya que la conexión pasa sobre estos servers, que naturalmente tienen un IP distinto, la página que visitas ve entonces el IP de este server y no el tuyo, es decir no puede averiguar tu identidad a través del IP
Puedes usar también servicios VPN, que son servicios que reunen varios dervers para elegir, los gratuitos habitualmente entre 3-8 diferentes (Windscribe por ejemplo es un buen servicio) y suelen tener un límite de volumen de datos mensuales.
Estos normalmente también tienen servicios de pago, que ofrecen muchas más diferentes servers, más velocidad y un uso de datos más grande o incluso ilimitado.

El caso del mencionado Hola era, que esta compañia no usaba servers públicos, sino las propias de los usuarios de sus compañía, con lo cual, si usabas este servicio, tu número de IP puede aparecer en conexiones hecho por otros, lo que en caso que el otro usaba esta conexión para actos delictivos, te podía acarrear problemas a ti sin comer ni beberlo.
Por suerte no es habitual entre los demás servicios VPN, que prácticamente suelen usar servers públicos, situados en diversos países

Me queda un poco más claro, nótese, el "poco", :D soy totalmente ignorante en el tema y tengo un interés especial.

Alarmante lo de "Hola" ¿aún funciona?

Nunca he usado estos servicios, a lo más el Opera que te cambia la ip, pero como mencioné en otro tema, en la computadora me causa conflicto al intentar entrar en foros de ForoActivo.

¿Y qué haces tú por esos foros de Dios (tan aburridos) teniendo este en el que te estamos esperando siempre como agua de mayo? Tienes que venir más a menudo porque este es el único foro que sobrevivirá a la hecatombe mundial que aniquilará el resto de foros.

Con respecto al tema del hilo, y para no hacer más OT ni fastidiarlo, yo estoy como tú porque no tengo ni idea de lo que hablan ni quiero enterarme.

Reciba un cordial saludo señorita.

Pero... si yo vengo todos los días... :( tú que no me ves.

A ver si no me pesca la hecatombe en el cruce de calles que ando haciendo de foro a foro :D

Ah! y del tema... igual que tú... pero tratando de entender, estos chicos saben mucho de estas cosas.

Saludos, Zampa!

¡Ah, bueno, es que me has pillado de vacaciones. Pero como ya no estoy de vacaciones, voy a seguirte muy de cerca para obligarte a escribir más a menudo. ¡Para una usuaria que merecía la pena en el otro foro!....no la pensamos perder aquí. ¿tamos?

No te preocupes por la hecatombe que aquí las armas secretas de los trolles nos divierten como no imaginas.

Ya sabes...¡de aquí no te escapas! ;)