Blog

    Te encuentras en:  
  1. Blog
  2. Qué es un rootkit y cómo intentar eliminarlo
Rootkit
Blog

Qué es un rootkit y cómo intentar eliminarlo

Un rootkit es un programa o más a menudo una colección de herramientas de software, que le dan a un actor malintencionado acceso remoto con privilegios y el control sobre un ordenador u otro dispositivo.

Permanece oculto en partes del sistema operativo y esta diseñado para evadir la detección por parte de aplicaciones antimalware y otras herramientas de seguridad.

Si bien existen usos legítimos para este tipo de software, como por ejemplo  proporcionar soporte remoto a un usuario, la mayoría de los rootkits abren una puerta trasera en los sistemas de las víctimas para introducir todo tipo de software malicioso.

  • Troyanos.
  • Spyware.
  • Virus.
  • Ransomware.
  • Keyloggers.
  • Otros tipos de malware.

También pueden usar el equipo comprometido para atacar a toda la red doméstica (o corporativa) para que por ejemplo todos los dispositivos conectados a ella pasen a formar parte de una botnet.

Variantes de rootkit

Los dos tipos principales de rootkits son:

  • Rootkits en modo usuario.
  • Rootkits en modo kernel.

Los rootkits en modo de usuario

Están diseñados para ejecutarse en la misma parte del sistema operativo donde normalmente se ejecutan las aplicaciones.

Secuestran sus procesos legítimos o sobrescriben la memoria que utilizan.

Por ejemplo, un rootkit es capaz de inyectar un código en un proceso legítimo, y usar luego la memoria de ese proceso para perpetrar sus fechorías.

Los más insidiosos incluso crean archivos especiales para ser detectados por el antivirus.

Así, cuando el antivirus accede al archivo, el rootkit trata de desactivarlo para prevenir su ejecución en el futuro.

Es el más común de los dos tipos.

Los rootkits en modo kernel

Se ejecutan a un nivel más bajo del sistema operativo y le otorgan al atacante un conjunto mayor de privilegios.

Después de la instalación de un rootkit en modo kernel, el atacante tendrá el control completo del sistema comprometido y por lo tanto la capacidad para llevar a cabo cualquier acción.

Los rootkits en modo kernel suelen ser más complejos que los rootkits en modo usuario, y por lo tanto, son menos comunes.

Este tipo de rootkit también es más difícil de detectar y eliminar.

Los rootkits en modo kernel son más propensos a tener fallos de programación, que en algunos casos puede desestabilizar el sistema.

En tal caso,el software malicioso puede mostrar indicios de su existencia al usuario, cuando aparecen las famosas pantallas azules o experimenta fallos intermitentes del sistema.

También hay otros rootkits llamados  bootkits, que están diseñados para modificar el cargador de arranque del ordenador (MBR ) y de esta forma pasar desapercibidos para la mayoría de herramientas de seguridad, debido a que no realizan ninguna modificación que involucre al sistema operativo (archivos, programas, carpetas registro, datos, etc.)

MBR

El malware también puede modificar el ajuste Setup de UEFI poniéndolo a cero, haciendo imposible arrancar el equipo.

Sin duda, toda una pesadilla para cualquier usuario.

Esto implica muchas veces tener que cambiar de ordenador ya que el problema no se encuentra en el software, sino en su hardware.

En los últimos años, ha surgido una nueva clase de rootkits para atacar teléfonos inteligentes, específicamente dispositivos Android.

Estos rootkits a menudo, están asociados con aplicaciones maliciosas descargadas de tiendas no oficiales o desde foros de internet.

Rootkits de firmware

Estos rootkits obtienen acceso al software que ejecutan varios dispositivos, como routers, tarjetas de red, discos duros o la BIOS del sistema.

Entre otras cosas, pueden hacer que el firmware de la BIOS instale y ejecute malware en el proceso de inicio del sistema operativo.

Posibles consecuencias de la infección por rootkits

  • Malware oculto: los rootkits permiten a los atacantes instalar malware adicional en los sistemas infectados. Ocultan los programas maliciosos a los usuarios y a cualquier software antimalware instalado en el ordenador.
  • Robo de información: el software malicioso instalado con la ayuda de rootkits se puede usar para robar contraseñas, información de tarjetas de crédito u otros datos confidenciales sin ser detectado.
  • Eliminación de archivos: los rootkits pueden eliminar el código del sistema operativo u otros archivos de un sistema.
  • Escuchas: los piratas informáticos pueden usar rootkits para espiar a los usuarios e interceptar sus comunicaciones y hacerse con información personal.
  • Ejecución de archivos: después de pervertir al software antimalware, los rootkits permiten a los delincuentes ejecutar de forma remota otros archivos en los sistemas comprometidos.
  • Acceso remoto: los rootkits pueden alterar la configuración del sistema, como abrir puertos TCP en la configuración del firewall, o alterar los scripts de inicio. Esto otorga a los atacantes acceso remoto, lo que les permite, por ejemplo, usar el ordenador infectado como parte de una botnet.

Métodos de infección

Los rootkits, no dejan de ser programas como cualquier otro, y para que se instalen, deben ejecutarse necesariamente en un sistema, con la concurrencia necesaria del usuario.

Los archivos adjuntos a los correos electrónicos acostumbran a ser los principales sospechosos habituales.

A pesar de las innumerables advertencias de los especialistas en seguridad, las personas aún descargan, abren, y ejecutan archivos adjuntos sin tomar ningún tipo de precaución.

Los archivos PDF y documentos de Word pueden diseñarse para ocultar el malware y activar la instalación del rootkit en el momento en que se abren.

También pueden venir de regalo junto a un programa descargado de una página de warez, o dentro de un crack de software.

Otra forma de infección es aprovechando una vulnerabilidad en un sistema operativo que no está actualizado, o en una aplicación obsoleta instalada en el equipo.

Un exploit alojado en una página web légitima que visitamos todos los días, también puede comprometer nuestro sistema, cuando la visitamos e interactuamos con ella.

La vieja técnica de dejar abandonada una memoria USB infectada en algún lugar público y bastante concurrido es otra táctica que utilizan los ciberdelincuentes para propagar sus creaciones.

Bloqueo y prevención

La prevención de rootkits se basa en la idea de que un rootkit puede penetrar en nuestro sistema mediante alguno de los métodos anteriores.

La primera medida preventiva, es detectar enlaces maliciosos y archivos adjuntos procedentes del correo electrónico, así como tener cuidado con la descarga y ejecución de archivos descargados de fuentes desconocidas o de dudosa reputación.

Mantener el software actualizado y parchear las vulnerabilidades conocidas en aplicaciones y sistemas operativos es esencial para prevenir el malware.

Ejecutar un software antimalware si es posible con detección basada en el comportamiento, y ocasionalmente analizar nuestro sistema con herramientas antirootkit especializadas.

Examinar detenidamente los registros del firewall u otras herramientas de red para identificar rootkits que se comunican con un centro de control remoto, también es una buena medida preventiva.

No utilizar nunca la cuenta de de administrador durante el uso cotidiano del ordenador, en su lugar utilizar la de usuario.

La cuenta de usuario, solo tiene privilegios limitados, por lo que los daños en caso de  infección por rootkit serán menores.

Si eres un usuario avanzado, para evitar que un rootkit infecte tu BIOS y sea prácticamente imposible de eliminar, puedes usar una protección contra escritura, como por ejemplo un puente (jumper) en la placa base.

Los rootkits integrados en el firmware de un dispositivo pueden ser más difíciles de detectar y limpiar por lo que requieren un enfoque diferente.

Para protegerte de este tipo de rootkits, asegúrate de que el firmware de todos los dispositivos está actualizado, y verifica si tu sistema está utilizando el arranque seguro.

El arranque seguro está diseñado para proteger el sistema al garantizar que solo se pueda ejecutar código confiable durante este proceso.

Para determinar si tu sistema Windows 10 se está ejecutando actualmente en un estado de arranque seguro, abre el menú Inicio y escribe Información del sistema.

En la ventana resultante, desplázate hacia abajo y busca el estado de arranque seguro.

Si indica que está activado, entonces el sistema se está ejecutando en este modo protegido.

Eliminación

Si sospechas de una infección por rootkit, lo primero que tienes que hacer es desconectar de inmediato el dispositivo sospechoso del resto de la red, y también de Internet, para evitar que el malware se propague a otros dispositivos, o que el villano tome el control de tu máquina.

Detectar, y eliminar un rootkit en un sistema puede ser difícil, ya que este tipo de malware es artero y muy insidioso.

Está diseñado para permanecer oculto y no molestarnos, para poder hacer sus negocios en segundo plano, y aún no existe ninguna solución cien por cien eficaz para deshacerse del maldito parásito.

En los casos más desesperados, la única solución es realizar una instalación del sistema operativo, mediante una ISO de Windows 10 limpia, descargada de la página de Microsoft.

Y si se trata de un bootkit o alguna de sus variantes, la cosa se complica.

Para intentar limpiar rootkits, tienes varias opciones.

Puedes ejecutar el análisis sin conexión de Windows Defender, que en la mayoría de los casos acabará con el problema.

Windows Defender sin Conexión es una herramienta de examen antimalware que permite iniciar y ejecutar un examen desde un entorno de confianza.

El examen se ejecuta desde fuera del kernel de Windows habitual para que pueda atacar al malware que intenta omitir el shell de Windows, como virus y rootkits que infecten o sobrescriban el registro de arranque maestro (MBR).

Análisis sin conexión de Windows Defender

En Windows 10, Windows Defender offline puede ejecutarse con un solo clic directamente desde el apartado de opciones de seguridad de Windows.

  1. Abre la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio.

  2. Haz clic en el icono Protección contra virus y amenazas (o en el icono de escudo en la barra de menú de la izquierda) y después, en la etiqueta Examen avanzado:

  3. Selecciona Examen de Windows Defender sin Conexión y haz clic en Examinar ahora.

En versiones anteriores de Windows, el usuario tiene que descargar Windows Defender sin Conexión e instalarlo en cualquier medio de arranque externo, para seguidamente iniciar el sistema desde el mismo.

También existen herramientas especializadas.

Es aconsejable utilizar estas herramientas en modo seguro.

El modo seguro inicia Windows en un estado básico, que usa un conjunto limitado de archivos y controladores, lo que dificulta en gran medida la ocultación del rootkit.

Si no estás seguro de los resultados del análisis, antes de eliminar nada y causar un estropicio, puedes visitar algún foro donde pueden guiarte a través del proceso de análisis y detección.

Los foros de Bleeping Computer (en inglés)  o Infospyware en español, son un excelente lugar para ayudarte a gestionar los resultados del análisis.

Los rootkits no son solo están diseñados para dispositivos con Windows .

También pueden introducirse en aparatos de Internet de las cosas (IoT) como por ejemplo una Smart TV o cualquier cosa que tenga un sistema operativo y una conexión a internet.

Temas:
Mostrar el formulario de comentarios

Avisos de seguridad

Air Vpn

Sered Hosting

Archivos del blog

Otros artículos

/blog/que-es-la-suplantacion-de-identidad-spoofing

Qué es la suplantación de identidad (Spoofing)

La suplantación de identidad ocurre cuando un pirata informático ...

Blog

/blog/como-proteger-windows-7-despues-del-fin-del-soporte-por-parte-de-microsoft

Cómo proteger Windows 7 después del fin del soporte por parte de Microsoft

Si todavía utilizas Windows 7, es posible que hayas escuchado que esta ...

Blog

/blog/que-es-un-programa-potencialmente-no-deseado-pup

Qué es un programa potencialmente no deseado (PUP)

Un programa potencialmente no deseado es una pieza de software que ...

Blog

/blog/una-vpn-nos-hace-anonimos

¿Una VPN nos hace anónimos?

La respuesta rápida a esta pregunta es no, si alguien afirma lo ...

Blog

/blog/como-detectar-y-eliminar-malware-en-windows

Cómo detectar y eliminar malware en Windows

No siempre es fácil saber si un dispositivo se ha visto comprometido por ...

Blog

Información

Blog - Entradas recientes

Temas

Privacidad Malware Amenazas Estafas Ingeniería social Redes sociales Antivirus gratuitos Internet Seguridad informática Redes Vulnerabilidades Contraseñas Windows Teléfonos móviles Android Seguridad de sitios web Antivirus
© 2019 - 2022 Infosegur.net - CC-BY 4.0
Buscar