creo que la mayoria en este foro,te pudiera contestar todas esas preguntas que expones,pero seria poco pedir que leyeras los anteriores temas ,pues son temas pasados,suerte

Respuesta 2: ¿que son rootkits?

Las RootKits son un conjunto de utilidades que son de frecuentes uso cuando un pirata ha invadido un sistema, basicamente estas 'utilidades' le permiten controlar el sistema sin que el administrador lo sepa, debido a que estas utilidades sustituyen binarios originales del sistema por otros modificados por el pirata.

Cuando un pirata (palabra que usaremos de referencia a un intruso, NO un hacker) a conseguido acceso a un sistema informatico intentara conseguir privilegios de Root (administrador), en caso de que su intrusion en el sistema sea solo de usuario buscara la manera de conseguir su objetivo, como por ejemplo buscar "bug's" (fallos), conseguir el /etc/passwd o /etc/shadow, etc. el pirata tiene muchas tecnicas para lograrlo. Si accedio al sistema como Root su trabajo sera mas facil.

Supongamos que ya es Root, ahora el pirata procurara mantener su estancia en el sistema durante el maximo tiempo posible para sus diversas actividades en el sistema, como por ejemplo un lugar donde depositar software robado, de pasarela a otros objetivos o simplemente por diversion. Para ello uno de los metodos mas empleados por los piratas consiste en utilizar las conocidas RootKits.

El pirata ahora debe sustituir binarios originales del sistema por unos modificados, los cuales escoden a los ojos del administrador las actividades del pirata. Una RootKit bien configurada puede permitir al pirata permanecer en el sistema durante tiempo ilimitado por ello el administrador debe ser paranoico y realizar analisis del sistema cada poco tiempo (lo recomendado son cada 6 meses aproximadamente.)

 El siguiente listado muestra los diferentes binarios, aunque no todos, que el pirata puede sustituir:
* ps

* find

* login

* su

* telnet

* netstat

* ifconfig

* ls

* du

* df

* libc

* sync

* asi como los binarios listados en /etc/inetd.conf

Como vemos la lista es bastante extensa, por lo que es recomendable que el administrador preste especial atencion a estos binarios y se asegure que son los originales.

Cuando el pirata ha instalado la RootKit en el sistema, le permitira controlarlo y volver al sistema siempre que quiera. Se han dado casos que cuando un administrador a descubierto que una cuenta estaba siendo usada por un pirata y cuando la cuenta fue cancelada el pirata volvio al sistema debido a que tenia una puerta trasera (backdoor) ya que havia instalado una RootKit y este todo furioso borro el sistema, logicamente esto acarrea graves consecuencias para el administrador.

En palabras simples, las RootKits son un conjunto de puertas traseras y utilidades para esconder las actividades del pirata en el sistema, por ejemplo el pirata puede sustituir el comando 'ps' para esconder un programa o el comando 'netstat' para esconder un sniffer y asi espiar nuestra red.

Practicamente en las ultimas versiones de las diferentes RootKits se ha simplificado la instalacion por lo que un pirata inexperto puede instalarlas sin problemas y de forma rapida. Debido a que cuentan con ficheros de instalacion y el pirata simplemente debe ejecutar el fichero "install".

 
Esta informacion la sake de un manual que me baje hace un tiempo (5 min XD)


- J.J.F. / Hackers Team - Security Documentation

Shadow Lord

PD: deberias buscar en google aver si puedes aclarar el resto de tus dudas, vere aver si puedo conseguir algo mas acerca de tus preguntas ya que me parecio interesante

Mira un rootkit popular es el hacker defender 0.73 k esta en la web de elcielodelosperros.
Y aki te dejo una url de cyruxnet de extirpacion de un rootkit
http://www.govannom.org/seguridad/rootkit/extirpar_rootkit.htm
-Saludos-