El objetivo de los actuales ciberdelincuentes es conseguir beneficios económicos y para lograrlo, es fundamental pasar desapercibidos dentro de los ordenadores de sus víctimas.

Estas cosas ya la sabemos, pero ¿Qué es un rookit?

Un rootkit es una serie de herramientas que tiene como fin esconder datos del sistema operativo. Los tipos de datos que suelen esconder son los procesos o servicios en ejecución y archivos o claves de registro.

Un rootkit, en el caso de que sea utilizado por aplicaciones legítimas, ofrece una mejor integración con el sistema y un mejor funcionamiento de dichas aplicaciones. Sin embargo, los rootkits pueden ser utilizados también por aplicaciones maliciosas para acceder al sistema y pasar desapercibidos con el fin de causar daños en el sistema.

No existe un procedimiento de detección 100% seguro. Por lo general, la detección de los rootkits se basa en el análisis de datos en formato RAW (datos fuente que no han sido procesador para ser utilizados). El análisis de estos datos se realiza utilizando las APIs de sistema contra las APIs del módulo Kernel. Una API es una Interfaz de Programación de Aplicaciones cuya función es la comunicación entre diferentes componentes software. Por ejemplo, los programadores pueden hacer uso de las funciones de una API para dibujar ventanas, iconos, etc. sin tener que programarlas directamente. Para detectar los rootkits usando este procedimiento, se analiza el sistema enumerando los procesos, archivos, claves de registro tanto con la API del Kernel como con la del sistema. Si tras el análisis se detectan discrepancias entre ambos resultados, éstas pueden ser consecuencia de la infección por un rootkit.

El servicio de detección de BitDefender se basa en el análisis de procesos ocultos (incluyendo servicios) y archivos. Se ha desarrollado una API especial que permite enumerar procesos y archivos de manera directa (saltándose la API normal). Con el fin de detectar estas amenazas, se enumeran los recursos usando esta API y también la API del sistema comparando los resultados tal y como se ha explicado anteriormente.

Rumor desmentido
Lo más importante para empezar a protegerse es saber que es falso el rumor de que son indetectables y, en consecuencia, que nada nos puede mantener a salvo de ellos y de los programas que esconden (diseñados para cometer cualquier fraude de forma remota).

Algunos de estos fraudes de ejemplo.

"Al parecer ha aparecido ya el primer troyano que aprovecha la “vulnerabilidad” que las rootkits de los Cds de musica de Sony con XCP dejan en nuestros pcs. EL troyano en si no es el problema, ya que incluso tiene un bugque hace que no se ejecute el codigo despues del renicio, pero esto deja en evidencia a los ejecutivos de Sony que dicen y mantienen que su XCP no causa ningun problema."


Fuente: Panda Software.
Boletin que comparto con todos los usuarios.