A estas alturas usted habrá oído hablar de los rootkits de Windows, herramientas que los autores de programas maliciosos usan para ocultar sus creaciones perversas de nuestro software antivirus o de contraespionaje. Como los rootkits frecuentemente ocultan virus peligrosos, caballos de Troya, o programas espías, es muy importante detectarlos.
Solamente unos pocos programas de detección de rootkits han recibido atención: el RootkitRevealer gratuito de sysinternals.com y Blacklight de F-Secure, por el cual tendrá que pagar cuando lea estas líneas. Pero por suerte para nosotros, los programadores están trabajando en un número de herramientas poderosas gratuitas para detectar rootkits.
IceSword es la creación de un programador chino que no habla una palabra de inglés. Los fabricantes de rootkits lo consideran el detector de rootkits más certero. De hecho, los fabricantes del rootkit Hacker Defender, una de las herramientas más utilizadas por los malhechores, se han propuesto derrotar a IceSword. Por el momento, han fracasado. Baje la versión internacional, que tiene cuadros de diálogo y controles en inglés, desde http://www.pcwla.com/buscar/06087302 (IceSword viene comprimido en el formato RAR, así que también tendrá que bajar la herramienta WinRAR desde rarlabs.com antes de usarlo).
Otro detector que puede encontrar muchos de los rootkits más reacios es GMER (www.gmer.net), una herramienta gratuita originada en Polonia que ha sido descrita como una combinación de RootkitRevealer y otra herramienta clave de Sysinternals, Process Explorer. Esta herramienta puede enumerar los procesos activos (“procesy” en polaco), los módulos (“moduly”) y los servicios de Windows (“uslugi”), además de detectar la presencia de rootkits (pulse la ficha “Rootkit” y a continuación pulse el botón llamado “Szukaj” para comenzar la detección).
HookExplorer de iDefense (http://www.pcwla.com/buscar/06087303) puede indicarle si hay un archivo escondido detrás de programas legítimos, a veces engañando al software de cortafuego. Por ejemplo, un archivo acoplado al programa winlogon.exe de Windows podría grabar sus pulsos de tecla mientras usted escribe la contraseña de su sistema y si trata de aniquilar el programa winlogon, su sistema se congelaría.
En su sitio de la Web, invisiblethings.org, la investigadora de seguridad Joanna Rutkowska ha construido una impresionante biblioteca de herramienta de detección que ejecutan desde la línea de mandos, programas sin una interfaz gráfica que buscan cambios en los archivos o en las carpetas hechos por los rootkits.
Algunas de estas herramientas no tienen la terminación de un Blacklight, pero es alentador saber que por lo menos existe el mismo interés en erradicar los rootkits que en crearlos.
-Andrew Brandt