¿formateando la pc se borran los rootkits?

Publicado en 'Seguridad Informática' por snow28, 30 Dic 2010.





  1. snow28

    snow28 Miembro nuevo

    Registro:
    30 Dic 2010
    Mensajes:
    6
    Likes:
    0




    hace poco lei sobre los rootkits y me dejo algo preocupado porque son indetectable asi tenga el kaspersky actualizado.

    quiero saber si formateando la PC desaparecen estos intrusos o se esconden muy bien en el nucleo de la pc (algo asi entendi) o se filtran en los archivos de backup. sino que programas me recomiendan para hacerles frente

    saludos :)
     


  2. bebito_agu

    bebito_agu Miembro de bronce

    Registro:
    21 Oct 2008
    Mensajes:
    1,131
    Likes:
    56
    NO. El formateo de la PC no borra los rootkits, puesto que éstos se esconden en la BIOS y no en el disco duro o en el SO. Para eliminarlos, hay utilidades que encontrarás googleando (entre ellas, aplicaciones de AVG y BitDefender especializadas en este tipo de software malicioso).
     
    Última edición: 30 Dic 2010
  3. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,982
    Likes:
    1,156
    Bueno, la respuesta de Bebito_agu no es del todo exacta (por lo menos según lo que sé, si hay nuevo conocimiento por favor expóngalo para aprender).

    Un rootkit, según Wikipedia es: "... una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows. Algunas versiones españolas de programas lo han traducido como «Encubridor»"

    Ahora bien, como software que es se encuentra alojado en el disco duro o en algún medio grabable, no hay razón, por lo tanto, que no pueda ser eliminado, por ejemplo, del disco duro mediante un formateo de bajo nivel. Hay programas maliciosos que resisten a un formateo normal (rápido o completo) pero no soportan un formateo de bajo nivel.

    Sobre el BIOS, si bien es cierto puede ser escrito con ciertas herramientas, el tener partes de código no válidas podría dar, en la mayoría de casos, un error de carga o una inhabilitación del sistema completo. La mayoría de nuevos BIOS están, de cierta manera, protegidos contra este tipo de infecciones, aunque, en teoría, podría haber software malicioso que podría ingresar a nuestro sistema y alojarse en el BIOS, pero me parece, por lo menos ahora, algo poco difícil de ser implementado.

    Ahora bien, la mayoría del software antivirus actual, hablo de los buenos como G-Data, F-Secure, Kaspersky y Avira, están preparados para contrarestar la mayoría de rootkits, sin embargo, como en todo, siempre hay cosas que se pueden escapar de la detección, por lo que hay herramientas gratuitas y de pago que se encargan sólo de detecctar rootkits.

    Los rootkits generalmente se usan para ocultar otras infecciones, incluso pueden desactivarse momentáneamente para pasar inadvertidos los escaneos del software de seguridad, si un programa antivirus no detecta la actividad del rootkit podría detectarlo como un virus cuando se haya desactivado, si es que no hace ninguna de las dos cosas el sistema se infectaría o se mantendría infectado. Algunos antivirus gratuitos no están preparados para lidiar con los rootkits por lo que hay que comprar alguno de los antivirus mencionados más arriba y configurarlos a fin que la protección a la PC sea lo mejor posible. Normalmente son los escaneos completos de la PC los que se configuran al máximo para evitar que se les pase algún tipo de infección, incluidos los rootkits.

    Kaspersky, ya que snow28 lo nombra, tiene uno de los mejores motores antivirus del mercado, por lo que deberías estar tranquilo al usarlo, pero igual, siempre ten a la mano una o dos herramientas adicionales.
     
    Última edición: 31 Dic 2010
    A PoOLz1T y bebito_agu les gustó este mensaje.
  4. Siper

    Siper Miembro frecuente

    Registro:
    30 Oct 2010
    Mensajes:
    60
    Likes:
    11
    Los rootkits no se guardan en BIOS, almenos ese comportamiento no es normal, auque hace poco leí un articulo donde un argentino exponia la forma de troyanizar la BIOS, como dice Karlen los rootkits pueden ser detectados y eliminados de forma mas eficiente con herramientas especializadas, una muy recomendada es combofix, te recomiendo que al realizar el proceso de desinfección desactives la opcion de restauración de sistema y ten tu pc en modo seguro con funciones de red, salu2 ;)
     
  5. achahuasoncco

    achahuasoncco Miembro maestro

    Registro:
    12 Dic 2010
    Mensajes:
    360
    Likes:
    108
    Un rootkit es una aplicación de software, es un archivo que es almacenado en una unidad (magnética, óptica, etc).
    Sin embargo, en la época del Windows 98, 95 e inferiores se podía flashear la bios porque estos sistemas operativos no tenían el famosísimo modo protegido, un mecanismo para evitar que las aplicaciones dependientes del sistema operativo accedan a direcciones de memoria reservadas (mejor dicho, actúan en una capa superior, lejana a las capas inferiores en donde reside el hardware).
    Un rootkit en ejecución se comporta como un proceso, pero para que este proceso se ejecuta necesita correr encima del sistema operativo. El sistema operativo tiene mecanismos para iniciar servicios y procesos durante el arranque (en Windows se puede revisar el msconfig).
    Al formatear la máquina se ha borrado no sólo al sistema operativo, sino también su configuración, y por ende la información de qué procesos deberían cargar al inicio. Haces una instalación nueva y te olvidas de preocuparte por la anterior configuración.
    Sucede que estos rootkits se ejecutan utilizando al famoso autorun.inf (en Windows XP hace verdaderos estragos) . Algunos de estos, malware por ejemplo, se ocultan en las particiones esperando con un archivo autorun.inf a que el usuario se le ocurra hacer doble click.
    Eso le pasó a un amigo, formateó una PC para deshacerse de un virus difícil y por azares del destino se le olvidó revisar si habían sobrevivientes en las demás particiones, se le ocurrió hacer doble click... y a volver a formatear...
     
  6. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,982
    Likes:
    1,156
    OK... ¿pero por qué formatear por un simple malware como el que comentas? Ya se ha explicado varias veces en el foro cómo salir de esos problemas con las memorias USB, sería bueno que revisen posts anteriores.

    Si se formatea un disco duro o una memoria USB se elimina el malware de ese disco (en casi el 100% de las veces), sin embargo, basta que se entre en contacto con una unidad de disco infectada (memoria USB, otra partición, CD/DVD, etc) para que la infección tenga muchas probabilidades de volver a infectar el sistema. Por eso, si se tienen más de 1 partición en el disco es mejor hacer un backup y elminar particiones, volviendo a crear todo desde cero. Luego de la instalación se debe instalar un buen antivirus y empezar a limpiar las memorias USB y los archivos resguardados para limpiarlos adecuadamente.

    Herramientas para hacer todo esto hay muchas y ya se dijeron en su momento.
     
  7. ZonaWifi

    ZonaWifi Miembro de bronce

    Registro:
    9 Nov 2010
    Mensajes:
    1,237
    Likes:
    121
    para no repetir lo que ya lei, queda claro que los rootkits son aplicaciones (software) no se aloja en la BIOS.

    te recomiendo:
    1.- utiliza de forma permanente una mejor forma de protegerte de los rootkits que tanto te llaman la atencion. ejecuta con regularidad una limpieza total a la maquina.
    2.- Si estas decidido hacer el formateo el paso critico es salvar la data, el cual tambien puedas salvar al bicho.
    3.- el formatear no te libra de futuros bichos, asi que aplica el paso 1.
    4.- repite todos los pasos segun sea necesario. veras que de tanto formatear seguiras igual.

    PD. no formatees a bajo nivel solo se hace para reasignar las pistas del disco duro en el caso que tenga demasiados sectores defectuosos. el hacerlo varias veces podria malograr fisicamente el disco.
     
  8. ascasoft

    ascasoft Miembro maestro

    Registro:
    8 Feb 2011
    Mensajes:
    538
    Likes:
    83
    como ya te explicaron los demas miembros es muy improbable que se guarden el la bios...
    ¿por que?.... simple ay diferentes empresas diferentes de bios y cada una tiene diferentes metodos, y diferentes verciones por tarjeta o placa madre, cosa que seria bien dificil que un rokit encuentre exactamente la vercion y la empresa de bios ala cual poder infectar...!

    se te puede solucionar dandole un formateo general a tus discos duros o volatiles instalados,DESPUES DE FORMATEADO TU PC I DE INSTALADO TU S.O, EVITA PONER DISPOCITIVOS USB, SI NO TIENES UN ANTIVIRUS INSTALADO....
    LUEGO DE INSTALADO TU ANTIVIRUS PUEDES PONER TUS USB