Hace un tiempo hablábamos sobre herramientas anti-keyloggers analizando unas cuantas, hoy le toca el turno a un par de herramientas anti rootkits: NoVirusThanks Anti Rootkit y GMER.
Lo primero que hay que decir sobre estas herramientas es que no son, en absoluto, para un público de 'propósito general'. Tal vez la herramienta de NoVirusThanks sea mas intuitiva pero aun así se requiere background para comprender la información que ofrecen.
El funcionamiento de ambas herramientas consiste en radiografiar ciertas partes del sistema, por lo que luego hay que interpretar y discernir que es una amenaza y que no
Aunque ambas herramientas permiten identificar múltiples tipos de amenazas, la funcionalidad mas interesante es poder identificar si un sistema está comprometido bien por rootkits a nivel Ring-3 (generalmente usando API-Hooking) o por sistemas mas sofisticados en Ring-0 (cargando drivers en el sistema)
La herramienta de NoVirusThanks es bastante fácil de utilizar:
Permite seleccionar el tipo de scan a realizar y una vez realizado el scaneo, la información se presenta bastante bien categorizada.
Como se puede ver en esta captura, en el sistema donde se ha realizado el análisis se encuentra instalado Messenger-Plus que establece una serie de hooks para funcionar:
Como decía al principio, es necesario interpretar los resultados, en este caso viendo las funciones 'hookeadas' y quien hace los hooks podemos inferir que no representan amenazas.
La herramienta de NVT también identifica los BHO (Browser Helper Objects) que son DLLs que se añaden a InternetExplorer para dotarle de mas funcionalidad (y que en su vertiente maliciosa pueden servir para capturar la navegación o modificar formularios)
En el caso de GMER hay menos funcionalidades y la presentación es claramente inferior. El único aspecto que supone un avance frente a la herramienta de NVT es que no requiere instalación y cuando se hace el download, genera un nombre aleatorio para el ejecutable, lo que en teoría permite que un proceso malicioso no pueda localizar y eliminar a GMER. En la práctica, hay muchos mas vectores que podrían ser usados por un proceso malware para hacer el fingerprinting de GMER.
En esta captura GMER muestra los hooks de Messenger-Plus. Como se puede apreciar la información es menos intuitiva que la ofrecida por NVT
3 comments :
Me gusta GMER, en la época que estuve eliminando malware me ayudó muchísimo....y recuerdo el tener que cambiar el nombre del ejecutable por que algunos bichillos si detectaban el nombre no le permitían ejecutarse.
GMER cambia el nombre del ejecutable a uno aleatorio cada vez que se descarga de la web.
Hace unos años eso no lo hacía, así que había que cambiarle el nombre.
Publicar un comentario