Rootkit es un programa que oculta sus propias acciones maliciosas de los antivirus, o enmascara el trabajo de otro malware, por ejemplo, un Troyano. El rootkit oculta, en particular, procesos del sistema, archivos, controladores, entradas de registro y conexiones de red, evitando que los antivirus identifiquen rastros de la presencia de este programa malicioso.
Auditoría de seguridad de la información
La funcionalidad de los rootkits es diversa: pueden robar contraseñas, datos de tarjetas bancarias, leer toques del teclado, controlar bots de forma remota para ataques DDoS, deshabilitar antivirus, etc.
El nombre se formó a partir de root (“superusuario” en terminología Unix) y kit (“kit”). Es decir, un rootkit es un conjunto de herramientas para acciones del sistema con derechos de administrador. De hecho, en términos de derechos, los rootkits se dividen en dos categorías: nivel de usuario y nivel de kernel.
Un rootkit con derechos de usuario tiene el mismo estado que cualquier aplicación normal instalada por un usuario víctima. Se disfrazan de proceso del sistema y parasitan las aplicaciones, interrumpiendo su trabajo o corrigiéndolo de la manera correcta.
Los rootkits “nucleares” obtienen acceso completo al sistema a nivel del kernel del sistema operativo. Este es el tipo más peligroso de ellos. Detectar y eliminar un rootkit nuclear es mucho más difícil que un rootkit a nivel de usuario. Un ejemplo es el bootkit de puerta trasera (una subespecie del rootkit).Win32.Sinowal, que infecta el sector de arranque del disco duro MBR (Master Boot Record) y se ejecuta antes de que se inicie el sistema, obteniendo un control total sobre él.
Los rootkits se descargan bajo la apariencia de software gratuito, se esconden detrás de pancartas y enlaces en sitios infectados y se descargan desde unidades externas(unidades flash, tarjetas SD, discos).