Universidad Tecnológica de la<br />Región Norte de Guerrero<br />Asignatura:Seguridad de la Información<br />Rootkit & Spy...
Ignacio Zapoteco Nava
Marcelino Delgado Serrano
Juan Barrera Nava</li></ul>Profesor: José Fernando Castro Domínguez<br />
Contenidos<br />¿Quésón? ¿Quéhacen? <br />1<br />2<br />Objetivos<br />Prevención<br />4<br />4<br />Detección<br />Tipos ...
El término viene de la unión de “root” y de “kit”. “Root” se refiere al usuario con máximos derechos en SO tipo Unix (pued...
¿Qué son?<br />Un Rootkit es una herramienta o un conjunto de ellas creadas con el objetivo de "esconderse" a sí mismo y a...
¿QuéHacen?<br />1<br />2<br />Mantener acceso y control privilegiado.<br />Ocultar o restringir el acceso a objetos tales ...
Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puert...
ObjetivosSecundarios<br />Ocultar los rastros de un intruso<br />Objetivos<br />Secundarios<br />Ocultar la presencia de p...
Objetivos secundarios<br />Ocultar la presencia de códigos que se aprovechan de las vulnerabilidades del sistema: modifica...
Formas de Detección<br />Apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un med...
2. Generalmente, los rootkits pueden ser detectados por escaneado del sistema de archivos y de la memoria, mediante lo que...
3. Programas que comprueban la integridad del sistema mediante firmas. Este tipo de programas hace firmas digitales de los...
En Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter. <br />Para Windows Blacklight. Otra aplicación d...
Tipos Rootkits<br />Rootkits persistentes<br />Rootkits basados en memoria<br />Son código mal intencionado que no contien...
Rootkits de modo de usuario<br /> <br />Rootkits de modo núcleo<br />un rootkit de modo de usuario intercepte todas las ll...
Rootkits en Windows<br />las DLLsDynamicLink Library, bibliotecas de vínculos dinámicos- son librerías compartidas, en lug...
Como Prevenir un Rootkit<br />Es necesario un sistema que vigile no únicamente la actividad de los archivos en el disco. E...
AntiRootkits<br />TDSSKiller 2.5.20.0:elimina rootkitde la familia Rootkit.Win32.TDSS: TDL1 , TDL2, TDL3, TDL4, TDSS, Tids...
Ejemplo de Rootkit<br />Sony utilizó tecnología XCP (Extended CopyProtection) de First 4 Internet Ltd para el control de a...
Que es un spyware?<br />Es un programa espía o es un software que recopila información de un ordenador y después transmite...
       Que hace?<br />Ralentiza su ordenador, en especial si hay más de un programa spyware en su sistema.<br />Cambia las...
Como funciona<br />funciona dentro de la categoría malware, que se instala furtivamente en un ordenador para recopilar inf...
   Como detectar un spyware<br />los mensajes, contactos y la clave del correoelectrónico; datos sobre la conexión a Inter...
Como evitarlo y eliminarlos<br />Norton, McAfee VirusScan, Trend Micro PC-Cillin 2004, y el Panda Antivirus<br />
Síntomas de infección<br />Cambio de la página de inicio, error en búsqueda del navegador web.<br />Aparición de ventanas ...
software vs spyware<br />
Ad-Aware Free Internet Security 9.0: Elimina fácilmente archivos espías y le ayuda a eliminarlos de forma rápida. Puede el...
Ejemplos de spyware<br />Adforce,  Adserver, Adsmart, Adsoftware,  Aureate,  Comet Cursor,  Conducent, Cydoor, Doubleclick...
Upcoming SlideShare
Loading in …5
×

Rootkits & Spyware

710 views

Published on

Una breve presentacion hacerca de Rootkits & Spyware.

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
710
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
37
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Rootkits & Spyware

  1. 1. Universidad Tecnológica de la<br />Región Norte de Guerrero<br />Asignatura:Seguridad de la Información<br />Rootkit & Spyware<br />Integrantes:<br /><ul><li>Carla Leticia Cardona Bello
  2. 2. Ignacio Zapoteco Nava
  3. 3. Marcelino Delgado Serrano
  4. 4. Juan Barrera Nava</li></ul>Profesor: José Fernando Castro Domínguez<br />
  5. 5. Contenidos<br />¿Quésón? ¿Quéhacen? <br />1<br />2<br />Objetivos<br />Prevención<br />4<br />4<br />Detección<br />Tipos y ejemplos<br />3<br />3<br />3<br />5<br />
  6. 6. El término viene de la unión de “root” y de “kit”. “Root” se refiere al usuario con máximos derechos en SO tipo Unix (puede ser Unix, AIX, Linux, etc), en los cuáles tuvo sus orígenes. <br />Rootkit<br />
  7. 7. ¿Qué son?<br />Un Rootkit es una herramienta o un conjunto de ellas creadas con el objetivo de "esconderse" a sí mismo y además, "esconder" otros elementos.<br />
  8. 8. ¿QuéHacen?<br />1<br />2<br />Mantener acceso y control privilegiado.<br />Ocultar o restringir el acceso a objetos tales como:<br />Procesos <br />Archivos <br />Carpetas / Directorios / Subdirectorios<br />Entradas de Registro<br />
  9. 9. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo.<br />
  10. 10. ObjetivosSecundarios<br />Ocultar los rastros de un intruso<br />Objetivos<br />Secundarios<br />Ocultar la presencia de procesos o aplicaciones maliciosas.<br />Recolección de información confidencial<br />Utilizar el sistemaparaataquesmaliciosos<br />Cubrir las actividades dañinas como <br />si fueran realizadas por programas legítimos.<br />
  11. 11. Objetivos secundarios<br />Ocultar la presencia de códigos que se aprovechan de las vulnerabilidades del sistema: modificación de parches, retorno a versiones anteriores, puertas traseras, entradas clandestinas<br />Guardar otras aplicaciones nocivas y actuar como servidor de recursos para actualizaciones de bot nets (una colección de robots, o bots, que se ejecutan de manera autónoma, formando verdaderas redes de máquinas zombis).<br />
  12. 12. Formas de Detección<br />Apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un Pen Drive. <br />
  13. 13. 2. Generalmente, los rootkits pueden ser detectados por escaneado del sistema de archivos y de la memoria, mediante lo que se conoce como análisis de firmas.<br />
  14. 14. 3. Programas que comprueban la integridad del sistema mediante firmas. Este tipo de programas hace firmas digitales de los programas más importantes del sistema y cualquier modificación de estos programas generará una firma distinta, de esta manera se detecta la intrusión.<br />
  15. 15. En Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter. <br />Para Windows Blacklight. Otra aplicación de detección para Windows es Rootkit Revealer de Sysinternals. Detecta todos los rootkits actuales comparando las funcionalidades del sistema operativo original con las que se han detectado.<br />
  16. 16. Tipos Rootkits<br />Rootkits persistentes<br />Rootkits basados en memoria<br />Son código mal intencionado que no contienen código persistente y por tanto no sobreviven un reinicio.<br />
  17. 17. Rootkits de modo de usuario<br /> <br />Rootkits de modo núcleo<br />un rootkit de modo de usuario intercepte todas las llamadas a las API de Windows FindFirstFile/FindNextFile, usadas por utilidades de exploración del sistema de archivos, que incluyen Explorador y el símbolo del sistema, para enumerar el contenido de los directorios del sistema de archivos..<br />Los Rootkits de modo núcleo son mas eficaces, debido a que no sólo pueden interceptar la API nativa de modo núcleo, sino que también pueden manipular directamente estructuras de datos de modo núcleo. Una técnica frecuente para ocultar la presencia de un proceso de código mal intencionado es quitar el proceso de la lista de procesos activos del núcleo. <br />
  18. 18. Rootkits en Windows<br />las DLLsDynamicLink Library, bibliotecas de vínculos dinámicos- son librerías compartidas, en lugar de incluir código común en cada uno de los programas, es más práctico "reciclarlo", de manera que funciones comunes se almacenan en ficheros aparte. <br />las DLLsson cargadas al correr los programas u otras Dlls. Sin embargo, con las dll código de inyección malicioso, e hablamos de insertar código en el espacio de memoria de otros programas, mediante la carga de una dll de origen malicioso o inyectarla en procesos abiertos (DLL Hooking), consiguiendo así pasar por el firewall.<br />
  19. 19. Como Prevenir un Rootkit<br />Es necesario un sistema que vigile no únicamente la actividad de los archivos en el disco. En lugar de analizar los archivos byte a byte, debe vigilarse lo que hacen al ejecutarse.<br />
  20. 20. AntiRootkits<br />TDSSKiller 2.5.20.0:elimina rootkitde la familia Rootkit.Win32.TDSS: TDL1 , TDL2, TDL3, TDL4, TDSS, Tidserv, TDSServSinowal, Whistler, Phanta, Trup, Stonedy, MBRRootkit y  Alureon entre otros. <br />F-SecureBlackLightRootkitEliminator:  <br />Sophos Anti-Rootkit .<br />RootkitRevealer : Dedicado a un tipo de malware que puede otorgar el control del ordenador a un usuario remoto.<br />
  21. 21. Ejemplo de Rootkit<br />Sony utilizó tecnología XCP (Extended CopyProtection) de First 4 Internet Ltd para el control de acceso de ciertos CDs de música.Los discos protegidos por XCP restringieron el número de copias de CDs o DVDs que podían hacerse y también controlaron la conversión del formato de codificación (ripping) de la música, para guardarla y escucharla en un reproductor digital.Así, no fue posible reproducir un CD en una PC sin instalar previamente un software que luego esconde archivos, procesos y claves del registro modificando el camino de ejecución de las funciones API. Hizo esto utilizando una técnica propia de los rootkits, que modifica la tabla de servicio del sistema (SST, SystemServiceTable).<br />
  22. 22. Que es un spyware?<br />Es un programa espía o es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.<br />
  23. 23. Que hace?<br />Ralentiza su ordenador, en especial si hay más de un programa spyware en su sistema.<br />Cambia las configuración de su navegador u ordenador, como la página de inicio del navegador.<br />Muestra publicidad en ventanas emergentes.<br />Controla e informa sobre las páginas Web visitadas.<br />Instala otros spyware.<br />En algunos casos extremos, controla e informa sobre lo que escribe en su ordenador.<br />
  24. 24. Como funciona<br />funciona dentro de la categoría malware, que se instala furtivamente en un ordenador para recopilar información sobre las actividades realizadas en éste. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas,<br />
  25. 25. Como detectar un spyware<br />los mensajes, contactos y la clave del correoelectrónico; datos sobre la conexión a Internet, como la direcciónIP, el DNS, el teléfono y el país; direcciones web visitadas, tiempo durante el cual el usuario se mantiene en dichas web y número de veces que el usuario visita cada web; software que se encuentra instalado; descargas realizadas<br />
  26. 26. Como evitarlo y eliminarlos<br />Norton, McAfee VirusScan, Trend Micro PC-Cillin 2004, y el Panda Antivirus<br />
  27. 27. Síntomas de infección<br />Cambio de la página de inicio, error en búsqueda del navegador web.<br />Aparición de ventanas "pop-ups", incluso sin estar conectados y sin tener el navegador abierto<br />La navegación por la red se hace cada día más lenta, y con más problemas.<br />Denegación de servicios de correo y mensajería instantánea.<br />
  28. 28. software vs spyware<br />
  29. 29. Ad-Aware Free Internet Security 9.0: Elimina fácilmente archivos espías y le ayuda a eliminarlos de forma rápida. Puede elegir los módulos a eliminar, guardar ficheros de registro, y personalizar el menú del programa. Incluye la detección de publicidad, escaneo automático y posibilidad de usarlo a través de línea de comandos. <br />SpywareBlaster 4.4: Evita que se instalen virus spyware, Adware ydialers. Previene la ejecución de estos basados en ActiveX, de este modo bloquea totalmente su entrada previniendo acciones potencialmente peligrosas. Se encargará de mantener actualizada su lista de spyware peligrosos a través de Internet y tapar las posibles entradas del Explorer. Además permitirá realizar una captura de su sistema para restaurarlo momento. <br />SpyBotSearch & Destroy 1.6.2.46: De interfaz sencillo, busca si en su disco hay algún software espía procediéndolo a eliminar en forma efectiva. Además puede eliminar las últimas páginas visitadas, los ficheros abiertos, los cookies, etc. <br />
  30. 30. Ejemplos de spyware<br />Adforce, Adserver, Adsmart, Adsoftware, Aureate, Comet Cursor, Conducent, Cydoor, Doubleclick, Flycast, Flyswat, Gator, GoHip, MatchLogic, Qualcomm, Radiate, Teknosuf, Web3000, Webferret, Worldonline, Webhancer<br />
  31. 31. BIBLIOGRAFIA<br />http://www.alegsa.com.ar/Notas/75.php<br />http://searchmidmarketsecurity.techtarget.com/definition/rootkit<br />http://www.baquia.com/posts/todo-sobre-los-rootkits<br />http://www.viruslist.com/sp/analysis?pubid=207270993<br />http://www.eset-la.com/centro-amenazas/articulo/-la-raiz-todos-los-males-rootkits-revelados/1520<br />http://www.kriptopolis.org/el-rootkit-del-drm-de-sony-la-verdadera-historia<br />http://www.uned.es/csi/sistemas/secure/seguridad/docs/rootkit-win/index2.htm<br />http://www.seguridadpc.net/rootkits.htm<br />http://www.infospyware.com/antirootkits/<br />http://www.seguridadpc.net/antispyware.htm<br />http://www.masadelante.com/faqs/programas-antispyware<br />http://www.youtube.com/watch?v=zxm04m7PtDM<br />http://www.youtube.com/watch?v=t_Cl3Sqrc8M<br />http://www.youtube.com/watch?v=7MuRzFYbzDQ<br />
  32. 32. CONCLUSIONES<br />Rootkits<br />Conjunto de herramientas que dan privilegio con la finalidad de inyectar malware en un equipo remoto, ayudando a ocultar procesos . Existe software que trabajan con procesos legítimos. <br /><ul><li>Se recomienda evitar descargas de archivos de dudosa procedencia, y la visita a paginas no seguras.
  33. 33. Para eliminarlo se recomienda no iniciar con el sistema operativo o en su caso iniciar en modo seguro, o bien como unidad externa.</li></ul>Spyware<br />Software espía utilizado para recopilar información sin consentimiento del usuario y enviarla a terceros con la finalidad de lucrar con ella, también existe spyware con fines benéficos para las empresas de TI.<br /><ul><li>Se recomienda mantener una actualización periódica del antivirus.
  34. 34. Prevención con las paginas visitadas.</li></li></ul><li>Gracias…!<br />

×