En los sistemas operativos
Windows,
un rootkit es un programa que penetra al sistema e intercepta las funciones del sistema (
Windows API).
Un rootkit puede esconder su presencia en el sistema con éxito
interceptando y modificando las funciones del API de nivel bajo. Además
un rootkit suele ocultar ciertos procesos, directorios, archivos, y
claves de registro. Muchos
rootkits instalan sus driver y servicios (son “invisibles” también) al sistema.
Esta
definición no incluye en sí misma ningún efecto perjudicial sobre el
sistema.
Es una tecnología que puede utilizarse con ánimo constructivo o
destructivo.
En sistemas UNIX, los
rootkits son empleados con objeto de
garantizar la continuidad del acceso a un ordenador remoto previamente comprometido, entre otros:
- Instalar puertas traseras mediante las cuales acceder al ordenador.
- Esconder las modificaciones realizadas en la configuración.
- Ocultar los registros dejados como consecuencia de la intrusión en el sistema.
Para sistemas Windows el objetivo sigue siendo similar:
ocultar
la existencia de otros elementos dentro del ordenador, de modo que
tanto su presencia como su ejecución pasen inadvertidos a los
ojos del usuario e incluso del software de seguridad. Si dichos
elementos son de naturaleza vírica, nos encontraremos ante un verdadero
problema.
Por otra parte, también se perciben beneficios potenciales de su utilización
, aplicada legítimamente en las siguientes áreas:
- Monitorización de empleados.
- Protección de derechos intelectuales.
- Protección de programas de las acciones del malware o de acciones erróneas del usuario (borrado accidental, por ejemplo).
http://www.pandasecurity.com/spain/enterprise/security-info/types-malware/rootkit/
