Home ¿Qué es el rootkit? ¿Cómo funcionan los rootkits? Explicación de los rootkits.

¿Qué es el rootkit? ¿Cómo funcionan los rootkits? Explicación de los rootkits.

Esta publicación explica¿Qué es un virus Rootkit en ciberseguridad?. Si bien es posible ocultar malware de una manera que engañe incluso a los productos antivirus/antispyware tradicionales, la mayoría de los programas de malware ya utilizan rootkits para ocultarse profundamente en su PC con Windows... ¡y se están volviendo más peligrosos! El rootkit DL3 es uno de los rootkits más avanzados jamás vistos en el mundo. El rootkit era estable y podía infectar sistemas operativos Windows de 32 bits, aunque se necesitaban derechos de administrador para instalar la infección en el sistema. Pero TDL3 ahora se ha actualizado y puede infectarincluso versiones de 64 bits de Windows!

Un virus Rootkit es un sigiloque está diseñado para ocultar la existencia de ciertos procesos o programas en su computadora de los métodos de detección regulares para permitirle a él u otro proceso malicioso acceso privilegiado a su computadora.

Rootkits para WindowsNormalmente se utilizan para ocultar software malicioso de, por ejemplo, un programa antivirus. Lo utilizan virus, gusanos, puertas traseras y software espía con fines maliciosos. Un virus combinado con un rootkit produce lo que se conoce como virus totalmente ocultos. Los rootkits son más comunes en el campo del software espía y ahora también los utilizan cada vez más los autores de virus.

Ahora son un tipo emergente de Super Spyware que se oculta de manera efectiva y afecta directamente al núcleo del sistema operativo. Se utilizan para ocultar la presencia de objetos maliciosos como troyanos o registradores de pulsaciones de teclas en su computadora. Si una amenaza utiliza tecnología rootkit para ocultarse, encontrar el malware en su PC es muy difícil.

Un ejemplo bien conocido de rootkit es NTRootkit, que apuntaba al sistema operativo Windows como uno de los primeros rootkits maliciosos. Otro ejemplo es HackerDefender, un troyano que alteraba el sistema operativo a un nivel bajo de llamadas a funciones. Además, Maquiavelo fue el primer rootkit dirigido a Mac OS X que apareció en 2009.

Los rootkits por sí solos no son peligrosos. Su único propósito es ocultar el software y los rastros que quedan en el sistema operativo, ya sea software normal o programas maliciosos.

Básicamente existen tres tipos diferentes de Rootkit. El primer tipo, el “Rootkits del núcleo"generalmente agregan su propio código a partes del núcleo del sistema operativo, mientras que el segundo tipo, el"Rootkits en modo de usuario"Están especialmente destinados a que Windows se inicie normalmente durante el inicio del sistema o se inyectan en el sistema mediante el llamado "Gotero". El tercer tipo esMBR Rootkits o Bootkits.

El objetivo principal de los rootkits es ocultar y mantener eficazmente la presencia de malware en un sistema, permitiéndole operar con privilegios elevados. Esto incluye ocultar archivos, procesos, claves de registro, cuentas de usuario e incluso registros del sistema durante el inicio del sistema. Los rootkits desempeñan un papel crucial a la hora de enmascarar las cargas útiles de malware y garantizar su persistencia en el sistema comprometido.

Cuando descubra que su antivirus y antispyware falla, es posible que necesite la ayuda de un.

Revelador de rootkitsdeComponentes internos del sistema de Microsoftes una utilidad avanzada de detección de rootkits. Su resultado enumera las discrepancias API del registro y del sistema de archivos que pueden indicar la presencia de un rootkit en modo usuario o en modo kernel.

Informe de amenazas del Centro de protección de malware de Microsoft sobre rootkits

Microsoft Malware Protection Center ha publicado su Informe de amenazas sobre rootkits. El informe examina uno de los tipos más insidiosos de malware que amenazan a organizaciones e individuos en la actualidad: el rootkit. El informe examina cómo los atacantes utilizan los rootkits y cómo funcionan los rootkits en las computadoras afectadas. A continuación se ofrece una esencia del informe, empezando por lo que son los Rootkits, para principiantes.

rootkites un conjunto de herramientas que un atacante o creador de malware utiliza para obtener control sobre cualquier sistema expuesto/no seguro, que de otro modo normalmente estaría reservado para un administrador del sistema. En los últimos años, el término 'ROOTKIT' o 'FUNCIONALIDAD DEL ROOTKIT' ha sido reemplazado por MALWARE, un programa diseñado para tener efectos indeseables en una computadora en buen estado. La función principal del malware es retirar en secreto datos valiosos y otros recursos de la computadora de un usuario y proporcionárselos al atacante, dándole así control total sobre la computadora comprometida. Además, son difíciles de detectar y eliminar y pueden permanecer ocultos durante períodos prolongados, posiblemente años, si pasan desapercibidos.

Naturalmente, los síntomas de una computadora comprometida deben enmascararse y considerarse antes de que el resultado resulte fatal. En particular, se deberían tomar medidas de seguridad más estrictas para descubrir el ataque. Pero, como se mencionó, una vez instalados estos rootkits/malware, sus capacidades sigilosas dificultan su eliminación y los componentes que pueda descargar. Por este motivo, Microsoft ha creado un informe sobre ROOTKITS.

El informe de 16 páginas describe cómo un atacante utiliza los rootkits y cómo funcionan estos rootkits en las computadoras afectadas.

El único propósito del informe es identificar y examinar de cerca el potente malware que amenaza a muchas organizaciones, en particular a los usuarios de computadoras. También menciona algunas de las familias de malware más frecuentes y saca a la luz el método que utilizan los atacantes para instalar estos rootkits para sus propios fines egoístas en sistemas sanos. En el resto del informe, encontrará expertos que hacen algunas recomendaciones para ayudar a los usuarios a mitigar la amenaza de los rootkits.

Tipos de rootkits

Hay muchos lugares donde el malware puede instalarse en un sistema operativo. Entonces, principalmente el tipo de rootkit está determinado por su ubicación donde realiza su subversión de la ruta de ejecución. Esto incluye:

  1. Rootkits en modo usuario
  2. Rootkits en modo kernel
  3. MBR Rootkits/kits de arranque

El posible efecto de un compromiso de rootkit en modo kernel se ilustra mediante una captura de pantalla a continuación.

El tercer tipo, modificar el Registro de arranque maestro para obtener control del sistema e iniciar el proceso de carga en el punto más temprano posible en la secuencia de arranque3. Oculta archivos, modificaciones de registro, evidencia de conexiones de red así como otros posibles indicadores que pueden indicar su presencia.

Familias de malware notables que utilizan la funcionalidad Rootkit

  • Win32/Sinowal13: Una familia de malware de múltiples componentes que intenta robar datos confidenciales, como nombres de usuario y contraseñas, para diferentes sistemas. Esto incluye intentar robar detalles de autenticación para una variedad de cuentas de correo electrónico, FTP y HTTP, así como credenciales utilizadas para banca en línea y otras transacciones financieras.
  • Win32/Cutwail15 – Un troyano que descarga y ejecuta archivos arbitrarios. Los archivos descargados pueden ejecutarse desde el disco o inyectarse directamente en otros procesos. Si bien la funcionalidad de los archivos descargados es variable, Cutwail suele descargar otros componentes que envían spam. Utiliza un rootkit en modo kernel e instala varios controladores de dispositivos para ocultar sus componentes a los usuarios afectados.
  • Win32/Rustock– Una familia multicomponente de troyanos de puerta trasera habilitados para rootkits desarrollados inicialmente para ayudar en la distribución de correo electrónico “spam” a través de unred de robots. Una botnet es una gran red de computadoras comprometidas controlada por un atacante.

Protección contra rootkits

Prevenir la instalación de rootkits es el método más eficaz para evitar la infección por rootkits. Para ello, es necesario invertir en tecnologías de protección como productos antivirus y cortafuegos. Dichos productos deben adoptar un enfoque integral de protección mediante el uso de detección tradicional basada en firmas, detección heurística, capacidad de firma dinámica y responsiva y monitoreo de comportamiento.

Todos estos conjuntos de firmas deben mantenerse actualizados mediante un mecanismo de actualización automatizado. Las soluciones antivirus de Microsoft incluyen una serie de tecnologías diseñadas específicamente para mitigar los rootkits, incluido el monitoreo en vivo del comportamiento del kernel que detecta e informa sobre los intentos de modificar el kernel de un sistema afectado, y el análisis directo del sistema de archivos que facilita la identificación y eliminación de controladores ocultos.

Si un sistema se encuentra comprometido, una herramienta adicional que le permita iniciar en un entorno conocido o confiable puede resultar útil, ya que puede sugerir algunas medidas correctivas apropiadas.

En tales circunstancias,

  1. La herramienta Standalone System Sweeper (parte del conjunto de herramientas de recuperación y diagnóstico de Microsoft (DaRT)
  2. Windows Defender sin conexión puede resultar útil.

Para obtener más información, puede descargar el informe en PDF desde el Centro de descarga de Microsoft.

Related Posts

Encienda el modo de cámara básica en Windows 11 para limitar las funciones de la cámara

Encienda el modo de cámara básica en Windows 11 para limitar las funciones de la cámara

2025-02-20
Administre archivos e imágenes como un profesional con PowerToys

Administre archivos e imágenes como un profesional con PowerToys

2024-12-04
Cómo instalar y configurar DNS en Windows Server

Cómo instalar y configurar DNS en Windows Server

2024-09-24
Activar o desactivar Filtrar información confidencial para recuperar instantáneas en Windows 11

Activar o desactivar Filtrar información confidencial para recuperar instantáneas en Windows 11

2024-12-03
Computer haciendo sonidos de notificación al dormir

Computer haciendo sonidos de notificación al dormir

2025-02-24
ManageEngine Opmanager Plus Review

ManageEngine Opmanager Plus Review

2025-05-02
Tutorial de Sensei Moro 5

Tutorial de Sensei Moro 5

2025-12-11
Las 11 mejores formas de solucionar el problema de bloqueo de Assassin's Creed Mirage

Las 11 mejores formas de solucionar el problema de bloqueo de Assassin's Creed Mirage

2023-10-08
Probador de teclado

Probador de teclado

2025-02-05
Cómo eliminar el código de acceso de soporte técnico de Apple.com para iPhone 2024

Cómo eliminar el código de acceso de soporte técnico de Apple.com para iPhone 2024

2024-05-07
Servicios de gestión de TI para empresas de todos los tamaños

Servicios de gestión de TI para empresas de todos los tamaños

2025-01-10
Cómo utilizar el navegador Microsoft Edge Game Assist

Cómo utilizar el navegador Microsoft Edge Game Assist

2024-11-25
Cómo instalar Vagrant en Hyper-V en Windows 11

Cómo instalar Vagrant en Hyper-V en Windows 11

2025-04-07
Noticias tecnológicas

Noticias tecnológicas

2025-01-14
Agregue un menú contextual para eliminar permanentemente archivos en Windows 11/10

Agregue un menú contextual para eliminar permanentemente archivos en Windows 11/10

2025-05-07