“Este sistema de ataque hace que sea pr\u00c3\u00a1cticamente imposible detectar el rootkit y los c\u00c3\u00b3digos maliciosos a los que oculta una vez que se han instalado en el equipo, utilizando soluciones de seguridad tradicionales”, afirma Luis Corrons, Director T\u00c3\u00a9cnico de PandaLabs, que a\u00c3\u00b1ade: “la \u00c3\u00banica defensa ser\u00c3\u00ada detectar la presencia de estos rootkits antes de que entren en el ordenador. Adem\u00c3\u00a1s, y en previsi\u00c3\u00b3n de c\u00c3\u00b3digos maliciosos desconocidos similares que puedan aparecer, es necesario utilizar tecnolog\u00c3\u00adas proactivas capaces de detectar amenazas sin necesidad de conocerlas con anterioridad”.<\/p>\n
El prop\u00c3\u00b3sito de los rootkits en el campo de la ciber-delincuencia es ocultar la acci\u00c3\u00b3n de los ejemplares de malware, dificultando as\u00c3\u00ad su detecci\u00c3\u00b3n. Hasta ahora, los rootkits se instalaban dentro de alg\u00c3\u00ban proceso del sistema, pero los nuevos ejemplares que PandaLabs ha localizado se instalan en una parte del disco duro que se activa antes que el propio sistema operativo.<\/p>\n
Cuando uno de estos nuevos rootkits es ejecutado en un sistema, realiza una copia del MBR existente, al tiempo que modifica el original con instrucciones maliciosas. Con ello consigue que si se intenta acceder al MBR, en lugar de al falso, el rootkit lo redirigir\u00c3\u00a1 al verdadero, evitando que el usuario o las aplicaciones vean algo sospechoso.<\/p>\n
Debido a estas modificaciones, cuando el usuario encienda el ordenador, se cargar\u00c3\u00a1 el MBR modificado, antes de cargar el sistema operativo. En ese momento, el rootkit ejecutar\u00c3\u00a1 el resto de su c\u00c3\u00b3digo con lo que conseguir\u00c3\u00a1 quedar totalmente oculto tanto \u00c3\u00a9l como los c\u00c3\u00b3digos maliciosos asociados al mismo.<\/p>\n
Hasta ahora, los rootkits enmascaraban extensiones o procesos, pero estos nuevos ejemplares pueden enga\u00c3\u00b1ar directamente al sistema. Su emplazamiento provoca que el usuario no observe ninguna anomal\u00c3\u00ada en ning\u00c3\u00ban proceso del sistema, puesto que el rootkit cargado en memoria estar\u00c3\u00a1 vigilando todos los accesos al disco, para hacer invisible al sistema cualquier tipo de malware al que vaya sido asociado.<\/p>\n
Los usuarios deben extremar las precauciones ante este nuevo tipo de amenaza. Por ello, es conveniente que no ejecuten ning\u00c3\u00ban archivo de procedencia desconocida que les llegue por correo electr\u00c3\u00b3nico, mensajer\u00c3\u00ada instant\u00c3\u00a1nea u otros medios.<\/p>\n
Para eliminar el c\u00c3\u00b3digo malicioso, el usuario que ya haya sido infectado deber\u00c3\u00a1 arrancar el ordenador con un CD de arranque para as\u00c3\u00ad no ejecutar el MBR. A continuaci\u00c3\u00b3n, deber\u00c3\u00a1 restaurar \u00c3\u00a9ste con utilidades como fixmbr de la consola de recuperaci\u00c3\u00b3n de Windows, cuando la infecci\u00c3\u00b3n se produce con este sistema operativo instalado.<\/p>\n
“Estos rootkits tambi\u00c3\u00a9n podr\u00c3\u00adan utilizarse para afectar a otras plataformas como Linux, ya que se ejecutan antes que el MBR, por lo que su acci\u00c3\u00b3n es independiente del sistema operativo que tenga instalado el usuario”, concluye Luis Corrons.<\/p>\n