Anti-Troyano, Anti-Gusano, Anti-Marcador, Anti-Rootkit y Anti-Spyware todo en un programa! a-squared Anti-Malware - Buscador de Malware para remover y eliminar el software malicioso.

Hace no mucho tiempo que un nuevo termino circula en internet: Rootkits. Lo que para un no experto podria no significar mucho, en realidad es una otra amenaza...

El termino viene del mundo Unix donde "root" es el usuario con el mayor nivel de privilegio de acceso, similar al "Administrador" en Windows. Los Rootkits han existido en la familia Unix/Linux por un tiempo pero la tendencia ha sido expandirse a los usuarios Windows.

Como ya mencionamos, los usuarios con los privilegios de Root/Administrador tienen accso libre al sistema operativo. Esto hace que los atacantes o los programas malitencionados intenten obtener estos accesos lo mas indetectados posible.

Que hago si quiero obtener ese acceso sin que tu te des cuenta? Invento el rootkit.

Un Rootkit debe cubrir sus rastros mientras que, a la vez, permanece indetectado para el administrador. Basicamente, existen 2 tipos de rootkits: los "Rootkits de Kernel" y los "Rootkits de modo de usuario". Los Rootkits de modo de usuario son mas comunes en ambientes Windows mientras que los Rootkits de Kernel agregan su propio codigo a algunas partes del nucleo del sistema operativo (Kernel).



Los Rootkits de modo de usuario se inician como cualquier otro programa durante el inicio o son inyectados en el sistema a traves de los conocidos "plantadores". Hay varios metodos posibles dependiendo del sistema operativo usado pero en ambientes Windows es, mayoritariamente, a traves de la manipulacion basica de los DLLs.

Una vez iniciado, el Rootkit completa su proposito: la eliminacion de sus trazos en el sistema operativo. Aqui tambien existen varias variantes lo que dificulta la deteccion del intruso. Para citar un ejemplo muy simple, Windows cuenta con una funcion que es la responsable de listar los contenidos de una carpeta. Un Rootkit puede modificar esta funcion basica (API) para que el nombre de la aplicacion que lo contiene nunca sea desplegado y asi volverse invisible al usuario. Manipulando otras APIs de Windows no solo pueden ocultarse archivos o carpetas sino que tambien aplicaciones activas o puertos abiertos o claves en el registro.

Los Rootkits por ellos solos no son peligrosos pero si lo es su proposito de ocultar otras aplicaciones nocivas.

Un buen ejemplo de ello, es el sistema anti copia de CD que Sony BMG incluyo en sus discos. A fines del 2005, el especialista en Windows, Mark Russinovich descubrio que simplemente al utilizar un CD protegido con este sistema provocaba que un programa que no aparecia en la lista de procesos se instalara automaticamente sin el consentimiento del usuario y que no podia ser desinstalado ya que se ocultaba hasta del mismo usuario! Este software fue ideado para prevenir la copia ilegal de CDs.

Desde entonces, si no antes, los Rootkits se han tornado muy populares. En este caso concreto, el Rootkit y no el software oculto de proteccion de copia era quien presentaba un daño indirecto ya que se omitian las precauciones minimas de seguridad de cualquier usuario para asegurar que el software quedara totalmente invisible. Mas alla de la cuestionable agresividad del metodo anti-copia, el sistema permite instalar otras aplicaciones nocivas con la ayuda del manejo de algunas variables del mismo Rootkit de Sony.

Sony termino la historia con un ojo morado. Los CDs con el mencionado sistema fueron cambiados sin cargo por otros sin el. Hasta el dia de hoy, la tormenta todavia esta latente ya que varios usuarios de USA y Europa han amenazado con tomar acciones legales.

Por mas interesante que esot resulte, hoy en dia, un riesgo mucho mayor es el presentado por los llamados "Hibridos" ("Hybrids"). Un hibrido se puede describir como la cruza de 2 o mas tipos de Malware; por ejemplo un Virus y un Gusano. Un ejemplo promienente de hibrido fue el gusano Magistr, una cruza de gusano y virus que tanto daño causo hace ya un tiempo. Los Rootkits-hibridos son la nueva amenaza: hibridos con las capacidades de camuflaje de los Rootkits. Ya han sido detectados varios, como el troyano Optix Pro que utilizaba habilidades de Rootkit para pasar desapercibido. Mas recientemente, las variantes del Bagle utilizan varias de esas tecnicas de Rootkit para esconder su presencia.

Es probable que leas mucho mas sobre Rootkits en el futuro cercano. Esto puede ser tomado como una una evolucion normal en la seguridad informatica: los sistemas aumentan su proteccion lo que conlleva a que los programas atacantes desarrollen nuevas maneras de vulnerar esa seguridad. La deteccion y limpieza de los Rootkits representa una dificultad ya que. dependiendo del creador, un Rootkit puede tambien esconderse del antivirus o del sistema de desinfeccion. Por otro lado, deben de estudiarse los sistemas infectados para poder determinar patrones que permitan la remocion de la aplicacion atacante.

El famoso Sistema de Deteccion de Intrusos (IDS) con el que cuenta el Anti-Malware a-squared, utiliza una tactica completamente diferente. El IDS es utilizado para reconocer el acceso a aplicaciones relevantes del sistema y prevenir las no autorizadas. Esto hace que el Anti-Malware a-squared sea completamente independiente de firmas de Malware y sea efectivo a la hora de combatir los Rootkits. El exito de esta tecnologia ya ha sido demostrado cuando, mas de un año atras, la ejecucion de los entonces desconocidos Rootkits no era permitida por los sistemas que utilizaban la tecnologia de a-squared.