¿Qué es un detector RootKit?

Un detector RootKit es un tipo especializado de software utilizado para encontrar la presencia de raíces ocultas en una computadora. No todos los raíces son malware, pero su capacidad para evitar la configuración de seguridad del sistema operativo normal y permanecer ocultos para los usuarios de la computadora hace que el RootKit sea una elección muy popular entre los creadores de malware. El detector RootKit va más allá del alcance de los programas típicos antivirus y antimalware para encontrar estos programas ocultos que han obtenido acceso a nivel raíz a la computadora al acceder a la raíz del sistema operativo de la computadora para buscar programas ocultos que podrían estar causando problemas. Con la capacidad del RootKit para obtener acceso a nivel de raíz al sistema, los creadores de malware pueden usar RootKits para robar contraseñas y otra información confidencial remotely, para destruir archivos del sistema operativo esencial o para crear caos general en la computadora de la víctima. Con su capacidad de permanecer oculto, el RootKit a menudo se coloca en la computadora como una carga útil incluida con otro programa o archivo que el usuario de la computadora descargó. En otros casos, el RootKit podría ser colocado en la computadora por un individuo que tiene intención maliciosa y que previamente ha obtenido acceso a la raíz del sistema operativo de la computadora, ya sea a través del contacto físico o mediante acceso remoto utilizando una vulnerabilidad del sistema.

La variedad de medios por los cuales se pueden instalar RootKits en la computadora de una víctima son por las cuales un detector RootKit puede tomar muchas formas. Un detector RootKit puede implicar el uso de algoritmos complejos para escanear los cambios en los archivos o firmas del sistema operativo, patrones de comportamiento que son comunes entre el malware y el spyware, o el escaneo de los archivos de volcado de memoria para encontrar evideNCE de instalación de malware. En algunos casos, el detector RootKit funciona como un sistema operativo separado para asegurarse de que el detector RootKit no esté comprometido.

Cuando se usa un detector RootKit junto con las herramientas de eliminación de RootKit, es importante que uno comprenda que, aunque la mayoría de los RootKits son malware, algunos Rootkits realmente tienen un propósito útil. RootKits se puede usar para detectar ataques de programas maliciosos, agregar mayor potencia al software de emulación, ejecutar programas que no necesitan una interfaz de usuario o incluso proteger las computadoras portátiles del robo. Cuando un detector de RootKit encuentra que RootKits, es importante que la fuente de RootKit y su uso se verifiquen antes de eliminarlo del sistema para asegurarse de que no se haga un mayor daño al sistema en el proceso.