1. ROOTKITS Es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkits puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. La finalidad es esconderse a si mismo y esconder otros programas, procesos, archivos, directorios, claves de registros, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible.

2. DETECCIÓN A menudo puede ser detectado por la firma o heurística basada en programas antivirus, por lo menos hasta que estén dirigidos por un usuario y es capaz de tratar de ocultarse. Existen limitaciones inherentes a cualquier programa que intenta detectar rootkits mientras que el programa se está ejecutando en el sistema sospechoso. Los rootkits son suites de programas que modifican muchas de las herramientas de sistema de núcleo y las bibliotecas de la que dependen todos los programas del sistema. El problema fundamental de detección de rootkit es que si el sistema operativo si está ejecutando o ha sido subvertida, no se puede confiar, ni incluso para encontrar modificaciones no autorizadas a sí misma a sus componentes. En otras palabras, acciones tales como solicitar una lista de todos los procesos en ejecución, o una lista de todos los archivos en un directorio, no puede confiar en que se comportan según lo previsto por los diseñadores originales. Los detectores de rootkit se ejecuta en los sistemas de trabajo,

3. USO DE LOS ROOTKITS Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kanel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.

5. UNA VEZ INFECTADO, ¿QUÉ HACER ? A pesar de lo que viene diciéndose, los rootkits pueden eliminarse (aunque no tan fácilmente). Estos programas se autoprotegen escondiéndose y evitando que ningún otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria. La mejor manera de evitar que el proceso entre en acción, es evitar el arranque del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un disco diferente al del sistema infectado; como puede ser un CD. Así, si el rootkit es conocido, podrá eliminarse. Sin embargo, si el rootkit no es conocido (es decir, que ha sido desarrollado específicamente para un sistema en concreto), cualquier antivirus fracasará. En este caso, el problema informático es casi el menos importante: hay una persona que, intencionadamente, quiere hacer daño a su empresa y se ha molestado en entrar en el sistema para perjudicarle. Existen varias herramientas Anti-Rootkits totalmente gratuitas que puede descargar directamente desde Infospyware para comprobar su sistema en busca de estos.