Virus Informático : el Rootkit
Para ayudar a los usuarios a comprender qué es un rootkit y cómo funciona, os vamos a explicar el modus operandi de este programa malicioso.
16 de April · 629 palabras.
🕘 Resumen
Los rootkits son herramientas de malware que permiten a los hackers acceder y controlar de forma remota los ordenadores y robar la información de los usuarios sin ser detectados.
Estos programas se han utilizado durante los últimos 20 años y se han diseñado específicamente para permanecer ocultos e infectar los sistemas operativos.
El rootkit se ocupa de diferentes herramientas maliciosas como keyloggers, módulos para robar tarjetas de crédito y botnets para ataques DDoS, entre otros. Existen dos tipos principales de rootkits: los user-mode y los kernel-mode.
Los rootkits user-mode funcionan en el mismo lugar que el sistema operativo y las aplicaciones y pueden hackearlas o reescribir la memoria que estos usan. Por el contrario, los kernel-mode operan desde el núcleo del sistema y proporcionan a los hackers los privilegios más altos del equipo.
También existen otras variantes como los bootkits, que se diseñan para modificar el sector de arranque del disco duro. A pesar de que existen soluciones para detectar y eliminar rootkits, estos programas siguen siendo una amenaza importante para la seguridad informática.
Definición de Rootkit
Un rootkit es un término que se aplica a un tipo de malware, diseñado para infectar un PC, el cual permite al hacker instalar diferentes herramientas que le dan acceso remoto al ordenador. Este malware se oculta en la máquina, dentro del sistema operativo y sortea los obstáculos como aplicaciones antimalware o algunos productos de seguridad. El rootkit contiene diferentes herramientas maliciosas como un keylogger, un módulo para robar los números de tarjeta o cuentas bancarias, un bot para ataques DDoS y otras funciones que pueden desactivar el software de seguridad. Los rootkits actúan como un backdoor que permite al atacante infectar, de forma remota, al equipo y eliminar o instalar componentes específicos. Algunos ejemplos de rootkits de Windows, todavía activos, son TDSS, ZeroAccess, Alureon y Necurs.
Variantes de Rootkit
Existen dos tipos principales de rootkits: user-mode y kernel-mode. Los primeros están diseñados para funcionar en el mismo lugar que opera el sistema operativo y las aplicaciones. Ejecutan sus funciones maliciosas hackeando las aplicaciones del equipo o reescribiendo la memoria que usan dichas aplicaciones. Este tipo de rootkit es el más habitual. En cambio, los kernel operan desde el núcleo y proporcionan al cracker los privilegios del equipo más importantes. Una vez el rootkit de núcleo está instalado, el hacker puede tener el control del ordenador infectado y hacer cualquier cosa que desee en él. Este tipo de malware es más complejo que el anterior y, por ende, menos habitual. Además, también es más difícil de detectar y eliminar.
También existen otras variantes, aunque menos comunes, como los bootkits. Estos programas se diseñan para modificar el boot loader (gestor de arranque) del ordenador, el software que funciona antes de que se cargue el sistema operativo. Recientemente, ha emergido una nueva clase de rootkits móviles cuyo objetivo son los smartphones, especialmente los dispositivos Android. Estos rootkits se asocian a una aplicación maliciosa que se descarga en foros o appstore de terceros.
¿Cómo infecta al equipo?
Los rootkits se pueden instalar siguiendo varios métodos, pero el más común es aprovechando una vulnerabilidad en el sistema operativo o en una aplicación del equipo. Los piratas informáticos dirigen sus atacantes contra vulnerabilidades conocidas y desconocidas en el sistema operativo y aplicaciones; usando un exploit que controle la máquina. Luego, instalan el rootkit y configuran unos componentes que proporcionan acceso remoto al PC. Los exploit se suelen alojar en una website, hackeada previamente. Otra forma de infección son los USB. Los atacantes dejan USB infectados en algún sitio donde una víctima los vea y los recoja: edificios de oficinas, cafeterías o centros de convenciones. En algunos casos, se realiza la instalación mediante vulnerabilidades de seguridad, pero en otros, se instala a partir de una aplicación o un archivo legal de un USB.
Eliminación
Es difícil detectar la presencia de un rootkit en un equipo, porque este tipo de malware permanece oculto y hace “su trabajo” a escondidas. No obstante, existen herramientas diseñadas para buscar rootkits siguiendo sus patrones de comportamiento. Eliminar un rootkit es un proceso complejo, que requiere el uso de herramientas especiales como TDSSKiller; herramienta de Kaspersky Lab que puede detectar y eliminar el rootkit TDSS. A veces, puede ser necesario que la víctima reinstale el sistema operativo ya que el equipo está demasiado dañado.
Para más consejos sobre como proteger tu ordenador de los virus visita la pagina web de Kaspersky Lab.