elhacker.NET - Eliminar, Detectar y Desinstalar RootKits

Eliminar, Detectar y Desinstalar RootKits

- Eliminar, Detectar y Desinstalar RootKits -

Eliminar Rootkits en Windows y Linux

RootkitRevealer v1.7
http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx

De Mark Russinovich.

AVG Anti-Rootkit 1.0.0.13 Beta
http://beta.grisoft.cz/beta/betarep.files/antirootkit/AVG_AntiRootkit_1.0.0.13.exe

Live-CD Helix
http://mirror.cc.vt.edu/pub/projects/helix/Helix_V1.8-10-05-2006.iso

Opción WFT

RKDetector v2.0 - Security Analyzer
http://www.rootkitdetector.com/RKDetector2.zip

Defeating Windows Rootkits (En Español)
http://www.haxorcitos.com/ficheros/Defeating_Windows_Rootkits.pdf

STRIDER GHOSTBUSTER
Descarga:http://www.antiy.net/ghostbusters/download.html
Info:ftp://ftp.research.microsoft.com/pub/tr/TR-2005-25.pdf

F-Secure BlackLight
Descarga:https://europe.f-secure.com/exclude/blacklight/blbetac.exe
http://www.f-secure.com/blacklight/

Sophos Anti-Rootkit
Descarga:http://www.sophos.com/support/cleaners/sarsfx.exe

BitDefender Rootkit Uncover
Descarga

UnHackMe
Descarga

Eliminar Rootkits en Linux

chkrootkit
+ info --> http://www.chkrootkit.org/
chkrootkit es una pequeña aplicacion que sirve para detectar los rootkits más comunes. No es infalible.

Instalación:

Citar
#necesitamos ser root
su -

#nos bajamos la ultima version
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

#comprobamos firma con ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5
md5sum chkrootkit.tar.gz

#descomprimimos
tar xvzf chkrootkit.tar.gz

#entramos al directorio
cd chkrootkit_version_tal

#compilamos
make sense

#probamos
./chkrootkit

#el resultado tiene que ser "not found", "not infected",etc.

Hay más parametros para usar, consultar documentación.

Entre otras tareas Chkrootkit (Shell Script) revisa localmente rastros de rootkits incluyendo detección de:

* rootkits LKM
* ifpromisc.c: para revisar y ver si la interface de red está en modo promiscuo.
* chklastlog.c: para revisar lastlogs.
* chkkwtmp.c: para revisar wtmp.

Otra herramienta parecida al chkrootkit:

Rootkit Hunter

# bajar:
wget http://downloads.rootkit.nl/rkhunter-1.2.8.tar.gz

# descomprimir:
tar zxf rkhunter-<version>.tar.gz

# Instalar
cd rkhunter
./installer.sh

rhkunter luego para hacerlo funcionar.

Más información relacionada:

Detectando RootKits

Zeppoo - Detector de RootKits