Rootkit

Rootkit

El Rootkit es un conjunto de herramientas usadas frecuentemente por los

intrusos informáticos o crackers que consiguen acceder ilícitamente a un

sistema informático. Estas herramientas sirven para esconder los procesos y

archivos que permiten al intruso mantener el acceso al sistema, a menudo con

fines maliciosos.

Hay rootkits para una amplia variedad de sistemas operativos, como Linux,

Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una

aplicación que lance una consola cada vez que el atacante se conecte al

sistema a través de un determinado puerto. Los rootkits del kernel o núcleo

pueden contener funcionalidades similares.

Un backdoor puede permitir también que los procesos lanzados por un usuario

sin privilegios de administrador ejecuten algunas funcionalidades reservadas

únicamente al superusuario. Todo tipo de herramientas útiles para obtener

información de forma ilícita pueden ser ocultadas mediante rootkits.

Estos programas tratan de encubrir a otros procesos que están llevando a cabo

acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta

trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos

abiertos que delaten la comunicación; o si hay un sistema para enviar spam,

ocultará la actividad del sistema de correo.

Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser

detectados. Si un usuario intenta analizar el sistema para ver qué procesos

están ejecutándose, el rootkit mostrará información falsa, mostrando todos los

procesos excepto él mismo y los que está ocultando. O si se intenta ver un

listado de los ficheros de un sistema, el rootkit hará que se muestre esa

información pero ocultando la existencia del propio fichero del rootkit y de los

procesos que esconde.

Cuando el antivirus haga una llamada al sistema operativo para comprobar qué

ficheros hay, o cuando intente averiguar

...