Menú principal

viernes, 24 de septiembre de 2010

(Anti)Rootkits en Mac OS X

En anteriores artículos como ‘Malware Mac OS X ¿Fantasía o realidad?’ se pudo constatar que realmente existe el mismo tipo de malware para Mac OS X. Es cierto que en mucho menor medida que Windows, debido a que la cuota de mercado de Mac OS X es inferior, pero aún así esto no quiere decir que los creadores de malware no fijen cada vez más su interés en este sistema operativo.

Por ello, Christian Hornung ha desarrollado una aplicación llamada ‘OS X Rootkit Hunter’ para ayudarnos a la detección y eliminación de rootkits.

Un rootkit es una aplicación que una vez instalada es capaz de ocultar o modificar la información ofrecida por el sistema, como por ejemplo la existencia de una determinada carpeta u ocultar la ejecución de un determinado proceso. El objetivo principal de estos programas suele ser la ocultación de puertas traseras o backdoors, de modo que el usuario no sea capaz de localizarlas, ofreciéndole al hacker una puerta abierta para acceder a nuestro sistema sin miedo a ser descubierto.

El modo de uso de ‘OS X Rootkit Hunter’ es muy sencillo, una vez instalado únicamente es necesaria su ejecución con permisos de administrador a través del siguiente comando:

‘cd “/Applications/OSXrkhunter/Rootkit Hunter.app/Contents/MacOS/”; sudo ./Rootkit\ Hunter’.


Una vez mostrada la ventana anterior, si hacemos clic en ‘Start rootkit scan’ se nos abrirá una terminal donde se irán mostrando los resultados del análisis.


Entre algunas de las pruebas realizadas por este ‘antirootkits’ está la detección de conocidos rootkits como ‘T0rn Rootkit’, ‘Trojanit Kit’, ‘Tuxendo’, etcétera. También realiza pruebas sobre los puertos abiertos por el sistema, comprobación de los permisos y privilegios de los usuarios... finalizando con un fichero de log mucho más detallado localizado en '/tmp/rkhunter.log', el cual contiene más información que la mostrada por la terminal.

6 comentarios:

  1. Es evidente que Apple no está exenta de virus, eso no se puede discutir, en realidad ningún sistema está libre de ser asaltado. Lo que si que puedo confirmar es que después de 3 años que llevo usando Mac OS X a diario no he tenido ningún virus, mientras que en Windows no puedo confirmar lo mismo en un uso de 3 meses, y para ambos utilizo los mismos consejos, no instalar software no confiable, no abrir mails no solicitados, usar contraseñas seguras, ... ¿Qué hago mal en Windows? Lo siento por los defensores a muerte de MS pero me quedo con Mac.

    ResponderEliminar
  2. @Anónimo, evidentemente se ha hecho menos malware para Mac OS X que para Windows. El problema es que esto está cambiando y si no cambias tus hábitos, lo mismo que te sucedía en Windows te va a pasar en Mac OS X.

    Saludos!

    ResponderEliminar
  3. He obtenido de resultado esto:

    Checking the local host...

    Performing group and account checks
    Checking for passwd file [ Found ]
    Checking for root equivalent (UID 0) accounts [ None found ]
    Checking for passwordless accounts [ None found ]
    Checking for passwd file changes [ Warning ]
    Unable to check for passwd file differences: no copy of the passwd file exists.
    Checking for group file changes [ Warning ]
    Unable to check for group file differences: no copy of the group file exists.
    Checking root account shell history files [ None found ]

    Performing system configuration file checks
    Checking for SSH configuration file [ Found ]
    Checking if SSH root access is allowed [ OK ]
    Checking if SSH protocol v1 is allowed [ Warning ]
    The SSH configuration option 'Protocol' has not been set.
    Checking for running syslog daemon [ Found ]
    Checking for syslog configuration file [ Found ]
    Checking if syslog remote logging is allowed [ Warning ]
    Syslog configuration file allows remote logging: install.* @127.0.0.1:32376

    Performing filesystem checks
    Checking /dev for suspicious file types [ Warning ]
    Suspicious file types found in /dev:
    /dev/fd/6: MS Windows icon resource
    /dev/fd/7: MS Windows icon resource
    Checking for hidden files and directories [ Warning ]


    Que debo hacer ahora?

    ResponderEliminar
    Respuestas
    1. Mirando por encima: Comprueba el fichero de contraseñas, sobre todo mira el que tiene en este caso el UID=0 es decir busca la contraseña del administrador. Ademas mira el fichero de configuración de SSH, comprueba despues si el administrador tiene habilitado el SSH.
      No se yo si es de fiar esa app ehh que hace cosas muy raras xDD

      Eliminar
  4. Tengo que aclarar que tengo Logkext instalado:

    http://code.google.com/p/logkext/

    Muchas gracias a todos por adelantado!

    ResponderEliminar
  5. de 10 tu pagina bro!sigue asi!

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares