Este post va dirigido a todos akellos usuarios de Windows q les preocupa algo la seguridad informática y mantienen (+ o -) a raya a los virus/troyanos/spy/etc... con un Antivirus/Antispy y un cortafuegos o router bien configurado. En primer lugar deberias leer http://www.microsoft.com/spain/technet/recursos/articulos/avdind_0.mspx si tienes tiempo libre, como no es mi caso, proseguimos.

Rootkits: son programas que son insertados en una computadora después de que algún atacante ha ganado el control de un sistema. Los rootkit generalmente incluyen funciones para ocultar los rastros del ataque, como es borrar los log de entradas o encubrir los procesos del atacante. Los rootkit pueden incluir puertas traseras, permitiendo al atacante obtener de nuevo acceso al sistema o también pueden incluir exploits para atacar otros sistemas.
http://es.wikipedia.org/wiki/Malware

Mi definición es mas explícita: + allá de los virus están esos entrañables bichitos indetectables 


Un rootkit antiguo y detectado por un buen AV moderno se puede convertir en indetectable con relativa facilidad (Por poner un ejemplo bastante conocido: http://foro.elhacker.net/index.php/topic,39760.0.html)Ad+ hay q contar con que no se trata de un virus hecho por el Juaker Josemari, hay trabajos MUY BUENOS y hay q dar por hecho q son totalmente invisibles para un usuario medio. Ante los nuevos no hay defensa posible, un verdadero hacker logra el acceso a tu makina por muy bien configurado y actualizado q tengas tu Windows, el firm de tu router, el AV, etc... porque vulnerabilidades ha habido siempre, solo vamos descubriendolas y parcheais el segundo martes de cada mes. La cuestión es detectarlo a tiempo.

Si observamos un minimo comportamiento anómalo de nuestros pcs y todos los AV dicen que estamos limpios solo nos queda una solución (dadle una colleja a ese que ha dicho "Formatear.") Son 3 programas de busqueda avanzada de bichitos:

STRIDER GHOSTBUSTER
Descarga:http://www.antiy.net/ghostbusters/download.htm
Info:ftp://ftp.research.microsoft.com/pub/tr/TR-2005-25.pdf


ROOTKIT REVEALER
Descarga:http://www.sysinternals.com/Files/RootkitRevealer.zip
Info:http://www.sysinternals.com/utilities/rootkitrevealer.html
NOTA IMPORTANTE: No detecta rootkits que no ocultan sus archivos o claves del registro.


BLACKLIGHT
Descarga:http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe
Info:http://www.f-secure.com/blacklight/cure.shtml

PD: Aún así, se podria programar un rootkit invisible a todos estos detectores, solo q a fecha de hoy, no me consta que exista ninguno.

Solo una pregunta por curiosidad. Si son invisibles como se sabe si existe o no?

Gracias por la respuesta.
Ahora entiendo, puedes ser invisible, pero cuando andas por la nieve dejas huella.
Y mas curioso aun lo de los honeypot. Aunque casi seguro que pillaran casi siempre lo mismo y tendran que filtrar hasta encontrar algo nuevo.
Un saludo

Me ha llegado un IM preguntando que utilizo yo para detectar rootkits bajo linux. Pues bien, básicamente esto:

ROOTKIT HUNTER:
Descarga:http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
Info:http://www.rootkit.nl/articles/rootkit_hunter_faq.html

TRIPWIRE
Descarga:
Info:http://www.tripwire.com/products/index.cfm
http://es.tldp.org/Tutoriales/GUIA_TRIPWIRE/guia_tripwire.html
NOTA: Esta herramienta controla la integridad de los archivos de sistema no te dice "Tienes un bichito y lo puedes llamar Jose  "

PD: En linux no busco bixitos desde hace mucho tiempo asiq puede que esto esté desactualizado. Si alguien quiere aportar alguna novedad....es bienvenida.

Excelente aporte.

hay va otro

http://www.rkdetector.com/