ReyLee
Usuario (México)
MÁS PELIGROSOS QUE LOS VIRUS !!!CUIDADO CON LOS ROOTKITS!!! Un rootkit es un software capaz de esconderse a sí mismo y también a otros programas,procesos, archivos e incluso puertos que posibilitarán al intruso ejecutar acciones maliciosas en el PC infectado. EL TÉRMINO DE ROOTKIT O ROOT KIT. El término viene de la unión de “root” y de “kit”. “Root” se refiere al usuario con máximos derechos en Sistemas Operativos tipo Unix (puede ser Unix, AIX, Linux, etc), en los cuáles tuvo sus origenes. Es el superusuario, el “administrador”, en definitiva, es la expresión máxima de autoridad sobre un determinado sistema informático. Por su parte, “kit” se refiere a un conjunto de herramientas, por lo que un rootkit hace referencia a un grupo de herramientas utilizadas por los ciberdelincuentes para ocultar su identidad y tener así el control de una máquina infectada sin ser detectado. Este problema afecta a diferentes Sistemas Operativos: Windows, Linux, Solaris, etc. Hay Dos TIPOS DE ROOTKITS.Por un lado, tenemos los que se integran en el núcleo. Estos modifican parte del código del núcleo del Sistema mediante drivers o módulos para ocultar una puerta trasera o "backdoor" (que no es más que un puerto que abre el rootkit) mediante la que el atacante pueda entrar en el equipo infectado. Son los más peligrosos, ya que su detección es muy complicada. Por otra parte, están los que funcionan a nivel de aplicación. Pueden cambiar archivos ejecutables de la máquina infectada por otros que contengan troyanos o que modifiquen la ejecución en algo que desee el atacante. ENTORNOS DE RIESGO. En nuestros ordenadores domésticos, los rootkits tienen una alta peligrosidad. Teniendo en cuenta que cada día se usa más la banca por Internet, por ejemplo, y los rootkits pueden ser capaces de interceptar datos procedentes de muchos sitios, incluido el teclado (keyloggers). Los rootkits ocultan inicios de sesión, procesos, archivos y los logs generados en los registros. Habitualmente se consideran Troyanos. Las entidades bancarias, conocedoras de todos estos sistemas, van buscando nuevas vías de acceso a sus zonas privadas con nuevos métodos. PARA QUÉ SE USAN. El objetivo más usual del Rootkit es el de ocultar algunas aplicaciones que actuán en el sistema infectado. Una vez que se logra entrar por primera vez al ordenador atacado, normalmente se deja abierta una puerta trasera, como por ejemplo una consola que esté oculta al usuario y que se ejecute cada vez que el equipo invadido se conecte a Internet. En general todo tipo de aplicaciones que usan estos ciberdelincuentes pueden ser ocultadas por los rootkits. Pero, la búsqueda de datos importantes no es lo único para lo que se usan. También se emplean para lanzar ataques contra otros equipos desde el sistema infectado, quedando el atacante oculto y, por tanto, a salvo de posibles represalias. Un Ejemplo claro de esto lo tenemos en el Spam o correo basura. Otros medios de ataque pueden ser de denegación de servicio (DOS) y mediante IRC. DIFÍCIL DETECCIÓN. La detección es muy compleja, pues, si el Sistema Operativo está infectado, no es fiable. Es decir, algo tan sencillo como pedir la lista de procesos que se están ejecutando o ver lo archivos de una determinada carpeta pasan a ser peticiones que pueden no dar el resultado real porque talvez estas peticiones estén siendo alteradas por las aplicaciones que oculta el rootkit. Y esto es sólo un ejemplo. Los Rootkits suelen monitorizar la actividad de la Máquina, de tal forma que ante un escaneo que los esté buscando se desactivan hasta que se finaliza su búqueda. Este comportamiento de invisibilidad al detectar que alguien se acerca es lo que hace complicada su detección. EL ARMA DE F-SECURE. Los fabricantes de Antivirus han incorporado en sus aplicaciones herramientas de búsqueda para localizar movimientos sospechosos. Esto ha llevado a los creadores de rootkits a diseñar mecanismos de defensa contra los Antivirus. Para Sistemas Windows, F-Secure pone a nuestro alcance el detector de rootkits BlackLight, que se puede descargar gratuitamente desde http://www.f-secure.com/en_EMEA/security/security-lab/tools-and-services/blacklight . Después de instalarlo y aceptar el Acuerdo de Licencia de Uso, podremos empezar a sacar todo el partido de esta sencillisima herramienta. Pulsaremos el botón Scan para comenzar a analizar el equipo en busca de elementos ocultos y, si se localizara alguno, procederíamos a su limpieza a través del Paso 2, Step 2 - Cleaning previsto por el programa. Finalmente, se nos presenta un resumen de las acciones realizadas; esto es, escaneo de procesos, archivos o carpetas ocultas, número de intrusos localizados y limpieza o renombre de los archivos afectados. LA PROPUESTA DE PANDA. Panda también cuenta con su Anti-Root-kit, un detector gratuito disponible en . Como el de F-Secure, es muy asequible para cualquier usuario; pero, a diferencia de aquél, está en castellano. Éste se organiza igualmente en tres pasos (escaneo, limpieza y resumen final), y lleva a cabo un análisis de los procesos y drivers en ejecución, el Registro de Windows, así como el fichero y ADS. OTRAS ALTERNATIVAS. Otra aplicación de detección y eliminación de rootkits es Rootkit Revealer de Sysinternals, propiedad de Microsoft desde el 2006, que se hizo famosa por detectar el rootkit de Sony (del cuál hablaré detalladamente en el siguiente Post) para la gestión de derechos digitales. Aunque hay algunos rootkits que ya están programados para evitar a este detector, se soluciona con algo tan sencillo como renombrar el ejecutable del programa. Para Linux, los más populares son chkrootkit y rkhunter. CÓMO ESTAR MÁS SEGURO En 2007, PandaLabs detectó un 272% más de ejemplares de rootkits que en 2006. En palabras de Luis Corrons, director técnico de PandaLabs,<<actualmente, los ciberdelincuentes ya no buscan fama o notoriedad, sino conseguir un beneficio económico de sus infecciones. Para lograr este fin, es primordial pasar inadvertido, ya que de esta manera aumentará el tiempo que el código malicioso permanece en el PC y, además, se evitará causar una alarma social y que los usuarios se protejan adecuadamente. Para esta labor, los rootkits son una herramienta idónea(...)>>. Cada día aparecen más de 3,000 nuevos ejemplares de malware, por lo que Panda nos recomienda: 1. Tener instalada una solución de seguridad eficaz y actualizada que sea capaz de detectar incluso amenazas deconocidas. 2. No llevar a cabo conductas poco seguras: abrir correos procedentes de fuentes desconocidas, abrir vínculos que lleguen por correo o mensajería instantánea en lugar de teclearlos en el navegador, o descargarse archivos sospechosos a través de redes P2P. 3. Mantener actualizados todos los programas que haya instalados en el equipo, para que ninguna vulnerabilidad sea empleada para introducir malware en el PC. 4. Analizar el ordenador en busca de malware con una solución Online (...). Estas herramientas tienen acceso a una base mayor de conocimiento y por lo tanto, son capaces de detectar más malware que las soluciones instaladas en el equipo. NOTA: Aclaro que esta es información complementada y confirmada por mí, y que no admito que toda esta me pertenezca, porque solo la complementé con mi conocimiento y experiencia. Y que toda esta Información es para su Ayuda y Conocimiento. Quién le preocupe su Seguridad debe Leerlo. Suerte a Todos. Aplausos Por Favor!!! Fuente: Revista PC Actual N° 211 + Conocimiento y Experiencia.
Este es mi 6° Post y aqui les quiero compartir una Solución o más bien varios métodos para solucionar este Problema de una buena vez, el cuál de seguro a algunos o muchos de ustedes les ha dado un dolor de cabeza al intentar resolverlo. Pues ami me pasó porque intenté activar Windows 7 mediante un Activador llamado 7loader que ya ni me acuerdo de donde lo bajé y esperé a clases para investigar, ya que nos tocaba Laboratorio osea uno de esos Centros de Cómputo de la escuela. Investigue en Internet hasta que encontré estos Métodos. No les doy el link porque no lo copie y ni siquiera me acuerdo cual era la dirección de la pagina en donde lo encontré. A pesar que anteriormente Presionaba las teclas que indicaba se reiniciaba pero seguia igual y no pasaba de ahi. A veces también como NTLDR is compressed y otros más conocidos se colucionan de la misma manera. Así que al grano. Pues normalmente ese problema es causado por dos cosas: 1- Por ir a las Propiedades del Disco Duro y activar Comprimir esta unidad para ahorrar espacio en disco. 2- Por intentar Activar el Sistema Operativo mediante un Activador o Parche OEM, que al final no les resulto. Antes de ir al los Métodos, Explicar que RAYOS es BOOTMGR: Como se ve en la imagen este es un archivo llamado Administrador de Arranque de Windows o también conocido como el famoso "BOOTMGR (Boot Manager)". Es utilizado como lo dice el Nombre para arrancar Windows. Este problema pasa porque este archivo se encuentra comprimido por eso el mensaje "BOOTMGR is compressed" y se comprimio por los motivos explicados anteriormente. Lo que hace este archivo es analizar el fichero "boot.ini" decimal codificado en Binario que enumera los Sistemas Operativos instalados y muestra el menú de Arranque, por eso es que le sucede a personas que tengan más de un Sistema Operativo instalado, o por lo menos a la mayoría de ellos. Lo del Activador pasa también porque este modifica directamente el BOOTMGR sin que sea necesario cambiar el MBR (Master Boot Record), esto con el fin de hacerle pensar a Microsoft que tu sistema es OEM osea original y así poder descargarte las Actualizaciones de Windows Update. Probar cual método es que les sirve: Ahora vallamos a LOS MÉTODOS: MÉTODO 1: Meter el disco de Instalación de Windows y reiniciar, si el disco no inicia deben entrar al BIOS e indicar la prioridad de inicio osea que unidad es la que primero va a iniciar o arrancar. - Luego te parace una barra en donde dice "Windows is loading files" y espera a que cargue los archivos - Te aparece una ventana llamada Instalar Windows, seleccionas tu idioma, país y teclado, y clic en Siguiente. - Después sale si quieres Instalar y das clic en la opción de hasta abajo Reparar Equipo. - Selecionas tu Sistema Operativo y clic en Siguiente. - Luego de ahi clic en Reparación de Inicio. Es posible que quede solucionado pero si no damos clic en Finalizar y luego en Símbolo del Sistema. Aquí viene el siguiente Método. MÉTODO 2: Lo que se va hacer es recuperar el archivo original "bootmgr" desde el disco de Instalación, para esto vamos aingresar unos cuantos comandos. Después de cada comando Presionar Enter. Cuando entren al Símbolo del Sistema y les aparesca esto: X: solo pongan cd C Luego escribir: expand bootmgr miboot attrib bootmgr -s -r -h del bootmgr ren miboot bootmgr attrib bootmgr -a +s +r +h - Reinicias y debería funcionar pero si sigue así pues vamos al Método Siguiente. MÉTODO 3: Ahora en el Símbolo del Sistema ingresar uno de los siguientes comandos. Procurar que sea en "C:". Recordar que por cada comando escrito dar Enter. Prueba con uno de estos Tres: bootrec /fixboot o bootrec /fixmbr o bootrec.exe /rebuildbcd Reinicias y pruebas. Si funciona te aparecerá "Windows no puede iniciarse" pero te da la opción de Elegir la Ultima Configuración Conocida y la de Iniciar Windows Normalmente y deberías elegir esta ultima y el Sistema debería iniciar correctamente. Si no funciona vamos con el Método Siguiente. MÉTODO 4: Ahora introducir unos comandos.Recordar que por cada comando escrito dar Enter. En el Símbolo del Sistema escribir los siguientes comandos: Escribir en C: o D: (cual sea la unidad del SO que madreaste) lo siguiente: cd boot bootsect /nt60 all Si esto no funciona pues no perder las Esperanzas. MÉTODO 5 (LA SOLUCIÓN DEFINITIVA): Eliminar la causa del mensaje "BOOTMGR is compressed, Press Ctrl + Alt + Del to restart". La causa es que le archivo esta comprimido por supuesto. Para eso hay que descomprimirlo manualmente. - Inicias de la misma manera que hiciste anteriormente y en el Símbolo del Sistema escribir en C: o D: (segun sea el caso) lo siguiente: En C: o D: (en donde se encuentre el SO al que madreaste) Recordar que hay que dar Enter en cada comando escrito. attrib -r -s -h -a bootmgr notepad.exe Se abre le Bloc de Notas: Archivo>Abrir Vas hasta el Disco local (C En el cuadro 'Nombre' escribes: *.* Clic derecho sobre bootmgr y seleccionar Propiedades Clic en el botón Avanzados... Quitar la marca a la casilla "Comprimir contenido para ahorrar espacio en disco" en el grupo Atributos de compresión y cifrado. En Propiedades de bootmgr Clic en Aplicar y luego en Aceptar. En el cuadro Abrir clic en Cancelar. Cerrar el Bloc de Notas. Para evitar que el arhivo se vuelva a modificar ponemos de nuevo los atributos de oculto, sistema y sólo lectura al archivo bootmgr y salimos del Símbolo del sistema: Para eso escribir: attrib +r +s +h bootmgr exit Y Listo solo Reinicia y YA ESTÁ. Si no te funciona ningun Método de estos es porque tu Computadora es una Mierda o un Extraterrestre o usa Windows 3.1. NOTA: Me costó mucho Trabajo hacer este Post y lo único que les pido es que no se vallan sin COMENTAR. AHH y si un Wey de Linux dice que "YO por eso con mi Linux" que vaya a Chingar a su Ma.... Un saludo a Todos y que Les sirva de Ayuda y los saque de apuros este Post. A MI ME GUSTA AYUDAR y Hasta Luego. Visiten mi Blog: http://informaticoadicto.blogspot.com