Detectar procesos ocultos y rootkits

En los últimos meses han aparecido muchos virus y troyanos que se están propagando por diferentes medios como correos electrónicos, mensajeros, etc. Generalmente están actuando a través de rootkits o procesos ocultos que no son detectados o no pueden ser eliminados por algún antivirus. Lamentablemente es así, y en muchas ocasiones hay que proceder a eliminar "manualmente" o utilizar herramientas especializadas para eliminar el virus o troyano existente.

Pero antes que todo, veamos el concepto envuelto en estas amenazas a la seguridad.

¿Qué es un rootkit?


Es una amenaza a la seguridad de una computadora. Están diseñados para modificar los componentes software clave del sistema operativo, insertando código que intenta ocultar la "infección" (por eso la mayoría de antivirus no lo detectan), y provee un servicio o una funcionalidad que es utilizada por el atacante, es decir la persona que sembró el rootkit. Los troyanos o virus que menciono al inició generalmente tienen la "habilidad" de ocultarse utilizando la misma tecnología.

Aunque hay suites de seguridad que pueden defender a las computadoras de las amenazas a través de rootkits, en ocasiones no queremos tener instalados y corriendo software que vuelven más lentas a nuestros equipos.
Sigue leyendo...

¿Entonces como detectar procesos ocultos y rootkits que pueden estar presentes en nuestro sistema?

Tenemos dos herramientas:

DeepMonitor


DeepMonitor es un detector de procesos ocultos, diseñado para Windows XP SP2 (no funciona en otras versiones de Windows, ni en WinXP SP3), que permite eliminar o detener la mayoría de tecnologías utilizadas por los rootkits. También detecta algunas técnicas de inyección de código. Lo que no hace es indicar si un proceso normal es peligroso o no. Puede advertir sobre un proceso oculto posiblemente maligno, pero en cambio si detecta un proceso normal (evidentemente dañino como sería el svch0st.exe) no nos avisa.

Una técnica que están utilizando los creadores de troyanos, es utilizar a aplicaciones comunes para hacer el trabajo sucio. Por ejemplo, toman el control de Internet Explorer o Firefox, para ejecutar sus actividades maliciosas. Esto provocará que todos los ataques provengan de Internet Explorer o Firefox, no del troyano, y por lo tanto un antivirus no lo detectará.

La pantalla de Deep Monitor muestra los procesos normales del sistema en azul, y los procesos ocultos serán "anunciados".



Para eliminar un proceso maligno, hacemos click derecho sobre el proceso, y elegimos la opción "Kill that bad boy" (Matar a este chico malo).



Como se ve en el menú mostrado, tiene la opción de mostrar información sobre el proceso seleccionado, de modo que nos ayuda a encontrar otros procesos u archivos relacionados.



Sería bueno utilizar cada cierto tiempo Deep Monitor para detectar procesos ocultos, y no sabremos que tenemos ejecutándose en nuestro sistema hasta utilizarlo.

Descargar DeepMonitor
Mirror en Rapidshare

ESET SysInspector



ESET SysInspector es una herramienta gratuita del fabricante del conocido antivirus NOD32. Está diseñada para sistemas operativos basados en Windows NT. Al ejecutarse en el sistema captura detalles como procesos en ejecución, contenido del registro, elementos del inicio y conexiones de red. Una vez que se ha tomado una instantanea del sistema es hecha, SysInspector aplica heurística para asignar un nivel de riesgo para cada objeto registrado.



Como se tiene un slider que permite filtrar los resultados por nivel de seguridad, indicando según un color determinado. ESET indica que es una herramienta de primera respuesta para amenazas a la seguridad.

Entre sus características tenemos:

Habilidad para generar y guardar un registro detallado para ser usado por un experto en TI o que pueda ser publicado en un foro para diagnostico.
Opción para excluir información personas y privada de los registros.
Tecnología integrada Anti-Stealth que permite descubrir objetos (por ejemplo rootkits) en MBR, entradas de registros, controladores, servicios y procesos ocultos.
Permite comparar dos registros existentes para detectar diferencias y cambios a través del tiempo.
Entradas del registro son asignados a un código de color para un nivel de riesgo y facilitar el filtrado de las posibles amenazas.
Es una aplicación portable, pudiendo ser ejecutada desde una memoria USB.
Descargar SysInspector
Mirror en Rapidshare (versión 32 bits)

0 comentarios: