Qué es un rootkit y cómo intentar eliminarlo

Un rootkit es un programa o más a menudo una colección de herramientas de software, que le dan a un actor malintencionado acceso remoto con privilegios y el control sobre un ordenador u otro dispositivo.

Permanece oculto en partes del sistema operativo y esta diseñado para evadir la detección por parte de aplicaciones antimalware y otras herramientas de seguridad.

Si bien existen usos legítimos para este tipo de software, como por ejemplo  proporcionar soporte remoto a un usuario, la mayoría de los rootkits abren una puerta trasera en los sistemas de las víctimas para introducir software malicioso, como troyanos, virus, ransomware, keyloggers u otros tipos de malware.

También pueden usar el equipo comprometido para atacar a toda la red doméstica (o corporativa) y que todos los dispositivos conectados a ella pasen a formar parte de una botnet.

Variantes de rootkit

Los dos tipos principales de rootkits son: rootkits en modo usuario y rootkits en modo kernel.

Los rootkits en modo de usuario

Están diseñados para ejecutarse en la misma parte del sistema operativo donde normalmente se ejecutan las aplicaciones.

Secuestran sus procesos legítimos o sobrescriben la memoria que utilizan.

Por ejemplo, un rootkit es capaz de inyectar un código en un proceso legítimo, y usar luego la memoria de ese proceso para perpetrar sus fechorías.

Los más insidiosos incluso crean archivos especiales para ser detectados por el antivirus. Así, cuando el antivirus accede al archivo, el rootkit trata de desactivarlo para prevenir su ejecución en el futuro.

Es el más común de los dos tipos.

Los rootkits en modo kernel

Se ejecutan a un nivel más bajo del sistema operativo y le otorgan al atacante un conjunto mayor de privilegios.

Después de la instalación de un rootkit en modo kernel, el atacante tendrá el control completo del sistema comprometido y la capacidad para llevar a cabo cualquier acción.

Los rootkits en modo kernel suelen ser más complejos que los rootkits en modo usuario, y por lo tanto, son menos comunes.

Este tipo de rootkit también es más difícil de detectar y eliminar.

Los rootkits en modo kernel son más propensos a tener fallos de programación, que en algunos casos puede desestabilizar el sistema.

En tal caso,el software malicioso puede mostrar indicios de su existencia al usuario, cuando aparecen las famosas pantallas azules o experimenta fallos intermitentes del sistema.

También hay otros rootkits llamados  bootkits, que están diseñados para modificar el cargador de arranque del ordenador (MBR ) y de esta forma pasar desapercibidos para la mayoría de herramientas de seguridad, debido a que no realizan ninguna modificación que involucre al sistema operativo (archivos, carpetas registro, datos, etc.)

El malware también puede modificar el ajuste Setup de UEFI poniendolo a cero, haciendo imposible arrancar el equipo.

Esto implica tener que cambiar de ordenador ya que el problema no se encuentra en el software, sino en su hardware.

En los últimos años, ha surgido una nueva clase de rootkits para atacar teléfonos inteligentes, específicamente dispositivos Android.

Estos rootkits a menudo, están asociados con aplicaciónes maliciosas descargadas de tiendas no oficiales (y desgraciadamente, a veces también oficiales) o desde foros de internet.

Rootkits de firmware

Estos rootkits obtienen acceso al software que ejecutan varios dispositivos, como routers, tarjetas de red, discos duros o la BIOS del sistema.

Entre otras cabronadas, pueden hacer que el firmware de la BIOS instale y ejecute malware en el proceso de inicio del sistema operativo.

Posibles consecuencias de la infección por rootkits

• Malware oculto: los rootkits permiten a los atacantes instalar malware adicional en los sistemas infectados. Ocultan los programas maliciosos a los usuarios y a cualquier software antimalware instalado en el ordenador.
• Robo de información: el software malicioso instalado con la ayuda de rootkits se puede usar para robar contraseñas, información de tarjetas de crédito u otros datos confidenciales sin ser detectado.
• Eliminación de archivos: los rootkits pueden eliminar el código del sistema operativo u otros archivos de un sistema.
• Escuchas: los piratas informáticos pueden usar rootkits para espiar a los usuarios e interceptar sus comunicaciones y hacerse con información personal.
• Ejecución de archivos: después de pervertir al software antimalware, los rootkits permiten a los delincuentes ejecutar de forma remota otros archivos en los sistemas comprometidos.
• Acceso remoto: los rootkits pueden alterar la configuración del sistema, como abrir puertos TCP en la configuración del firewall, o alterar los scripts de inicio. Esto otorga a los atacantes acceso remoto, lo que les permite, por ejemplo, usar el ordenador infectado como parte de una botnet.

Métodos de infección

Los rootkits, no dejan de ser programas como cualquier otro, y para que se instalen, deben ejecutarse necesariamente en un sistema, con la concurrencia necesaria del usuario.

Los archivos adjuntos en correos electrónicos son uno de los sospechosos habituales. A pesar de las innumerables advertencias de los especialistas en seguridad, las personas aún descargan, abren, y ejecutan archivos adjuntos sin tomar ningún tipo de precaución.

Los archivos  PDF y documentos de Word pueden diseñarse para ocultar el malware y activar la instalación del rootkit en el momento en que se abren.

También pueden venir de regalo junto a un programa descargado de una página de warez, dentro de un crack de software, o preinstalados en una versión pirata de Windows.

Otra forma de infección es aprovechando una vulnerabilidad en un sistema operativo que no está actualizado, o en una aplicación instalada en el equipo.

Un exploit alojado en una página web (sobre todo en aquellas que permiten la subida de archivos.) también puede comprometer nuestro sistema, cuando la visitamos e interactuamos con ella.

La técnica de dejar abandonada una memoria USB infectada en algún sitio (cafetería, banco,centro comercial etc.) donde una futura víctima pueda verlo, cogerlo y posteriormente ejecutarlo en su PC para ver que contiene, es otra táctica que utilizan los ciberdelincuentes para propagar sus creaciones.

La imaginación de los villanos a la hora de desarrollar métodos para jodernos, no tiene límite.

Bloqueo y prevención

La prevención de rootkits se basa en la idea de que un rootkit puede penetrar en nuestro sistema mediante alguno de los métodos anteriores.

• La primera medida preventiva, es detectar enlaces maliciosos y archivos adjuntos procedentes del correo electrónico, así como tener cuidado con la descarga y ejecución de archivos descargados de fuentes desconocidas o de dudosa reputación.
• Mantener el software actualizado y parchear las vulnerabilidades conocidas en aplicaciones y sistemas operativos.
• Ejecutar un software antimalware si es posible con detección basada en el comportamiento, y ocasionalmente analizar nuestro sistema con herramientas antirootkit especializadas.
• Un alto consumo de CPU, y el funcionamiento contínuo del ventilador cuando no estamos trabajando en el PC, puede indicar la presencia de un rootkit.
• Examinar detenidamente los registros del firewall u otras herramientas de red para identificar rootkits que se comunican con un centro de control remoto, también es una buena medida preventiva.
• No utilizar nunca la cuenta de de administrador durante el uso cotidiano del ordenador, en su lugar utilizar la de usuario. La cuenta de usuario, solo tiene privilegios limitados, por lo que los daños en caso de  infección por rootkit serán menores.
• Si eres un usuario avanzado, para evitar que un rootkit infecte tu BIOS y sea prácticamente imposible de eliminar, puedes usar una protección contra escritura, como por ejemplo un puente (jumper) en la placa base. 
• Amplía tu conocimiento sobre las formas más comunes de fraude en Internet, como por ejemplo el phishing.

Los rootkits integrados en el firmware de un dispositivo pueden ser más difíciles de detectar y limpiar por lo que requieren un enfoque diferente.

Para protegerte de este tipo de rootkits, asegúrate de que el firmware de todos los dispositivos está actualizado, y verifica si tu sistema está utilizando el arranque seguro.

El arranque seguro está diseñado para proteger el sistema al garantizar que solo se pueda ejecutar código confiable durante este proceso.

Para determinar si tu sistema Windows 10 se está ejecutando actualmente en un estado de arranque seguro, abre el menú Inicio y escribe Información del sistema.

En la ventana resultante, desplazate hacia abajo y busca el estado de arranque seguro.

Si indica que está activado, entonces el sistema se está ejecutando en este modo protegido.

Eliminación

Detectar, y eliminar un rootkit en un sistema puede ser difícil, ya que este tipo de malware es muy insidioso, está diseñado para permanecer oculto y no molestarnos, para poder hacer sus negocios en segundo plano, y aún no existe ninguna solución cien por cien eficaz para deshacerse del maldito parásito.

En algunos casos, la única solución es realizar una instalación del sistema operativo, mediante una ISO de Windows 10 limpia, descargada de la página de Microsoft.

Y si se trata de un bootkit o alguna de sus variantes, una solución de seguridad, o reinstalar el sistema operativo, muchas veces no es suficiente, ya que el problema no se encuentra en el software sino en el hardware.

Para intentar limpiar rootkits, tienes varias opciones. Puedes ejecutar el análisis sin conexión de Windows Defender.

Windows Defender sin Conexión es una herramienta de examen antimalware que permite iniciar y ejecutar un examen desde un entorno de confianza.

El examen se ejecuta desde fuera del kernel de Windows habitual para que pueda atacar al malware que intenta omitir el shell de Windows, como virus y rootkits que infecten o sobrescriban el registro de arranque maestro (MBR).

En Windows 10, Windows Defender offline puede ejecutarse con un solo clic directamente desde la aplicación de seguridad de Windows.

1. Abre la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio.

2. Haz clic en el icono Protección contra virus y amenazas (o en el icono de escudo en la barra de menú de la izquierda) y después, en la etiqueta Examen avanzado:

3. Selecciona Examen de Windows Defender sin Conexión y haz clic en Examinar ahora.

En versiones anteriores de Windows, el usuario tiene que descargar e instalar Windows Defender sin Conexión en un medio de arranque, e iniciar el sistema desde el mismo.

También existen herramientas especializadas.

• Malwarebytes Anti-Rootkit Beta
• TDSSKiller
• GMER Anti-Rootkit
• Sophos Anti-Rootkit
• Norton Power Eraser

Es aconsejable utilizar estas herramientas en modo seguro.

El modo seguro inicia Windows en un estado básico, que usa un conjunto limitado de archivos y controladores, lo que dificulta en gran medida la ocultación del rootkit.

Hay dos versiones de modo seguro: Modo seguro y Modo seguro con funciones de red. El Modo seguro con funciones de red agrega los servicios y controladores de red que necesitarás para obtener acceso a Internet y a otros equipos de tu red. 

Si el análisis genera sospechas de una infección por rootkit, desconecta el dispositivo sospechoso de la red e Internet de inmediato, para evitar que el malware se propague a otros dispositivos.

Los rootkits no son solo para dispositivos Windows.También pueden introducirse en dispositivos de Internet de las cosas (IoT) como por ejemplo una Smart TV o cualquier cosa que tenga una conexión a internet.

Si no estás seguro de los resultados del análisis, antes de eliminar nada y causar un estropicio, puedes visitar algun foro donde pueden guiarte a través del proceso de análisis y detección.

Los foros de Bleeping Computer (en inglés)  o Infospyware en español, son un excelente lugar para ayudarte a gestionar los resultados del análisis.