Existen algunos tipos de MALWARE que se ocultan reemplazando archivos del

S.O. --> ROOTKIT

De esta manera los análisis antimalware no los detectan, ya que no dudan
de la veracidad de estos archivos.

MALWARE
SW malicioso: virus, gusanos, troyanos, rootkits...

*****************
* WINDOWS - SFC *
*****************

<< TEORÍA >>

- ESCANEAR ARCHIVOS PROTEGIDOS DEL SISTEMA (situados en C:\Windows\

WinSxS)
> sfc /SCANNOW

- Si detecta algún problema, puede que solicite el disco de

instalación para reparar los ficheros.

- Si no se pueden reparar, se puede consultar qué archivos son en:

c:\windows\logs\cbs\cbs.log

- Otros comandos útiles:

> sfc /OFFBOOTDIR Opción para reparar el arranque de
Windows sin conexión.
Sin conexión significa que
accederemos a un disco duro que no esté en funcionamiento,
por lo que esta opción tendremos
que utilizarla desde un DVD de instalación de Windows, por ejemplo.
Su sintaxis seria: “SFC
/OFFBOOTDIR=<ruta completa del archivo>”.
> sfc /OFFLOGFILE Reparación de un archivo de registro en
las mismas condiciones que el caso anterior.

<< PRÁCTICA >>

- Ejecuta SFC en una máquina Windows 10 y muestra el resumen final.

---------------------------
--> CAPTURA LA PANTALLA <--
---------------------------
**************************
* LINUX - Rootkit Hunter *
**************************

<< TEORÍA >>

http://jaumeferre.net/single_post.php?post-alias=seguridad-en-la-
raspberry-episodio-v-cazando-rootkits

https://docs.rockylinux.org/es/guides/web/apache_hardened_webserver/
rkhunter/

INSTALAR
> sudo apt install rkhunter

* Postfix (servidor SMTP de correo electrónico) > "Sin

configuración"
- Se puede configurar para que envíe emails con los
resultados de escaneos automatizados.

CONFIGURAR
- Para ermitir actualizaciones, abrir "/etc/rkhunter.conf" y
descomentar y modificar estas variables:
> UPDATE_MIRRORS=0 ---> UPDATE_MIRRORS=1

Sudo gedit /etc/rkh….

> MIRRORS_MODE=1 ---> MIRRORS_MODE=0

> WEB_CMD="/bin/false" ---> WEB_CMD=""

- Verificar y actualizar rkhunter:

> rkhunter --update

- Verificar y actualizar la base de datos de los binarios de

los archivos protegidos del sistema.
> rkhunter --propupd

EJECUTAR
> sudo rkhunter -c -sk
-c: escanear.
-sk: no tener que pulsar teclas.

VER LOG
> sudo gedit /var/log/rkhunter.log

WARNINGS
- Son avisos de posibles vulnerabilidades > Hay que
investigarlos para ver si lo son.

- Por ejemplo:
> Warning: The command '/usr/bin/lwp-request' has been
replaced by a script:
 /usr/bin/lwp-request: Perl script text executable

+ Investigando en internet, vemos que no es una amenaza

y se puede ignorar. Se trata
de un script que permite hacer peticiones http a
servidores web.

+ Para suprimir el error, hay que editar el archivo

"/etc/rkhunter.conf" y añadir o descomentar
en la sección "Allow the specified file to be a
script.":
> SCRIPTWHITELIST=/usr/bin/lwp-request

<< PRÁCTICA >>

- Instala Rootkit Hunter en una máquina Ubuntu 14.

- Actualiza Rootkit Hunter para que tenga en cuenta las

aplicaciones y actualizaciones instaladas en tu S.O.
 - Ejecuta Rootkit Hunter y muestra el resumen final.

- Visualiza el log, busca un archivo con Warnings y ábrelo con

"gedit" para investigarlo.