Una breve presentacion hacerca de Rootkits & Spyware.

2. Ignacio Zapoteco Nava

3. Marcelino Delgado Serrano

4. Juan Barrera NavaProfesor: José Fernando Castro Domínguez

5. Contenidos ¿Quésón? ¿Quéhacen? 1 2 Objetivos Prevención 4 4 Detección Tipos y ejemplos 3 3 3 5

6. El término viene de la unión de “root” y de “kit”. “Root” se refiere al usuario con máximos derechos en SO tipo Unix (puede ser Unix, AIX, Linux, etc), en los cuáles tuvo sus orígenes. Rootkit

7. ¿Qué son? Un Rootkit es una herramienta o un conjunto de ellas creadas con el objetivo de "esconderse" a sí mismo y además, "esconder" otros elementos.

8. ¿QuéHacen? 1 2 Mantener acceso y control privilegiado. Ocultar o restringir el acceso a objetos tales como: Procesos Archivos Carpetas / Directorios / Subdirectorios Entradas de Registro

9. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo.

10. ObjetivosSecundarios Ocultar los rastros de un intruso Objetivos Secundarios Ocultar la presencia de procesos o aplicaciones maliciosas. Recolección de información confidencial Utilizar el sistemaparaataquesmaliciosos Cubrir las actividades dañinas como si fueran realizadas por programas legítimos.

11. Objetivos secundarios Ocultar la presencia de códigos que se aprovechan de las vulnerabilidades del sistema: modificación de parches, retorno a versiones anteriores, puertas traseras, entradas clandestinas Guardar otras aplicaciones nocivas y actuar como servidor de recursos para actualizaciones de bot nets (una colección de robots, o bots, que se ejecutan de manera autónoma, formando verdaderas redes de máquinas zombis).

12. Formas de Detección Apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un Pen Drive.

13. 2. Generalmente, los rootkits pueden ser detectados por escaneado del sistema de archivos y de la memoria, mediante lo que se conoce como análisis de firmas.

14. 3. Programas que comprueban la integridad del sistema mediante firmas. Este tipo de programas hace firmas digitales de los programas más importantes del sistema y cualquier modificación de estos programas generará una firma distinta, de esta manera se detecta la intrusión.

15. En Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter. Para Windows Blacklight. Otra aplicación de detección para Windows es Rootkit Revealer de Sysinternals. Detecta todos los rootkits actuales comparando las funcionalidades del sistema operativo original con las que se han detectado.

16. Tipos Rootkits Rootkits persistentes Rootkits basados en memoria Son código mal intencionado que no contienen código persistente y por tanto no sobreviven un reinicio.

17. Rootkits de modo de usuario Rootkits de modo núcleo un rootkit de modo de usuario intercepte todas las llamadas a las API de Windows FindFirstFile/FindNextFile, usadas por utilidades de exploración del sistema de archivos, que incluyen Explorador y el símbolo del sistema, para enumerar el contenido de los directorios del sistema de archivos.. Los Rootkits de modo núcleo son mas eficaces, debido a que no sólo pueden interceptar la API nativa de modo núcleo, sino que también pueden manipular directamente estructuras de datos de modo núcleo. Una técnica frecuente para ocultar la presencia de un proceso de código mal intencionado es quitar el proceso de la lista de procesos activos del núcleo.

18. Rootkits en Windows las DLLsDynamicLink Library, bibliotecas de vínculos dinámicos- son librerías compartidas, en lugar de incluir código común en cada uno de los programas, es más práctico "reciclarlo", de manera que funciones comunes se almacenan en ficheros aparte. las DLLsson cargadas al correr los programas u otras Dlls. Sin embargo, con las dll código de inyección malicioso, e hablamos de insertar código en el espacio de memoria de otros programas, mediante la carga de una dll de origen malicioso o inyectarla en procesos abiertos (DLL Hooking), consiguiendo así pasar por el firewall.

19. Como Prevenir un Rootkit Es necesario un sistema que vigile no únicamente la actividad de los archivos en el disco. En lugar de analizar los archivos byte a byte, debe vigilarse lo que hacen al ejecutarse.

20. AntiRootkits TDSSKiller 2.5.20.0:elimina rootkitde la familia Rootkit.Win32.TDSS: TDL1 , TDL2, TDL3, TDL4, TDSS, Tidserv, TDSServSinowal, Whistler, Phanta, Trup, Stonedy, MBRRootkit y Alureon entre otros. F-SecureBlackLightRootkitEliminator: Sophos Anti-Rootkit . RootkitRevealer : Dedicado a un tipo de malware que puede otorgar el control del ordenador a un usuario remoto.

21. Ejemplo de Rootkit Sony utilizó tecnología XCP (Extended CopyProtection) de First 4 Internet Ltd para el control de acceso de ciertos CDs de música.Los discos protegidos por XCP restringieron el número de copias de CDs o DVDs que podían hacerse y también controlaron la conversión del formato de codificación (ripping) de la música, para guardarla y escucharla en un reproductor digital.Así, no fue posible reproducir un CD en una PC sin instalar previamente un software que luego esconde archivos, procesos y claves del registro modificando el camino de ejecución de las funciones API. Hizo esto utilizando una técnica propia de los rootkits, que modifica la tabla de servicio del sistema (SST, SystemServiceTable).

22. Que es un spyware? Es un programa espía o es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.

23. Que hace? Ralentiza su ordenador, en especial si hay más de un programa spyware en su sistema. Cambia las configuración de su navegador u ordenador, como la página de inicio del navegador. Muestra publicidad en ventanas emergentes. Controla e informa sobre las páginas Web visitadas. Instala otros spyware. En algunos casos extremos, controla e informa sobre lo que escribe en su ordenador.

24. Como funciona funciona dentro de la categoría malware, que se instala furtivamente en un ordenador para recopilar información sobre las actividades realizadas en éste. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas,

25. Como detectar un spyware los mensajes, contactos y la clave del correoelectrónico; datos sobre la conexión a Internet, como la direcciónIP, el DNS, el teléfono y el país; direcciones web visitadas, tiempo durante el cual el usuario se mantiene en dichas web y número de veces que el usuario visita cada web; software que se encuentra instalado; descargas realizadas

26. Como evitarlo y eliminarlos Norton, McAfee VirusScan, Trend Micro PC-Cillin 2004, y el Panda Antivirus

27. Síntomas de infección Cambio de la página de inicio, error en búsqueda del navegador web. Aparición de ventanas "pop-ups", incluso sin estar conectados y sin tener el navegador abierto La navegación por la red se hace cada día más lenta, y con más problemas. Denegación de servicios de correo y mensajería instantánea.

28. software vs spyware

29. Ad-Aware Free Internet Security 9.0: Elimina fácilmente archivos espías y le ayuda a eliminarlos de forma rápida. Puede elegir los módulos a eliminar, guardar ficheros de registro, y personalizar el menú del programa. Incluye la detección de publicidad, escaneo automático y posibilidad de usarlo a través de línea de comandos. SpywareBlaster 4.4: Evita que se instalen virus spyware, Adware ydialers. Previene la ejecución de estos basados en ActiveX, de este modo bloquea totalmente su entrada previniendo acciones potencialmente peligrosas. Se encargará de mantener actualizada su lista de spyware peligrosos a través de Internet y tapar las posibles entradas del Explorer. Además permitirá realizar una captura de su sistema para restaurarlo momento. SpyBotSearch & Destroy 1.6.2.46: De interfaz sencillo, busca si en su disco hay algún software espía procediéndolo a eliminar en forma efectiva. Además puede eliminar las últimas páginas visitadas, los ficheros abiertos, los cookies, etc.

30. Ejemplos de spyware Adforce, Adserver, Adsmart, Adsoftware, Aureate, Comet Cursor, Conducent, Cydoor, Doubleclick, Flycast, Flyswat, Gator, GoHip, MatchLogic, Qualcomm, Radiate, Teknosuf, Web3000, Webferret, Worldonline, Webhancer

31. BIBLIOGRAFIA http://www.alegsa.com.ar/Notas/75.php http://searchmidmarketsecurity.techtarget.com/definition/rootkit http://www.baquia.com/posts/todo-sobre-los-rootkits http://www.viruslist.com/sp/analysis?pubid=207270993 http://www.eset-la.com/centro-amenazas/articulo/-la-raiz-todos-los-males-rootkits-revelados/1520 http://www.kriptopolis.org/el-rootkit-del-drm-de-sony-la-verdadera-historia http://www.uned.es/csi/sistemas/secure/seguridad/docs/rootkit-win/index2.htm http://www.seguridadpc.net/rootkits.htm http://www.infospyware.com/antirootkits/ http://www.seguridadpc.net/antispyware.htm http://www.masadelante.com/faqs/programas-antispyware http://www.youtube.com/watch?v=zxm04m7PtDM http://www.youtube.com/watch?v=t_Cl3Sqrc8M http://www.youtube.com/watch?v=7MuRzFYbzDQ