Microsoft advierte de nuevos programas espía indetectables
Investigadores de seguridad de Microsoft están advirtiendo de una nueva generación de potentes programas de monitorización –denominados rootkits- que son casi imposibles de detectar usando los actuales productos de seguridad y que pueden suponer un serio riesgo para empresas e individuos.
Estos programas espía maliciosos se están convirtiendo cada vez en más habituales y pronto podrían ser utilizados para crear una nueva generación de software espía y gusanos distribuidos masivamente. Con nombres como Hacker Defender, FU y Vanquish, estos programas son la última generación del software de monitorización remota que existe desde hace años y son utilizados por los hackers para controlar, atacar o robar información de sistemas en los que está instalado este software –generalmente sin el conocimiento de su propietario, debido a un virus o a un ataque hacker contra las defensas del ordenador-.
Una vez instalados, los rootkits más habituales pueden estar ejecutándose calladamente en segundo plano, pero son fácilmente detectables entre los procesos en ejecución en la memoria del sistema infectado, monitorizando las comunicaciones salientes de la máquina o revisando los programas instalados recientemente. No obstante, hay otros rootkits que modifican el kernel y también están popularizándose. Sus autores también saben esconder muy bien sus creaciones, según los expertos de Microsoft. Algunos son capaces de interceptar consultas o “llamadas del sistema” que se pasan al kernel y filtran las consultas generadas por el software espía. El resultado es que los procesos, archivos o cambios en la configuración son indetectables por los administradores o las herramientas de detección.
Los rootkits de kernel son invisibles para la mayoría de herramientas de detección, incluso antivirus, y son los propios creadores de rootkits los que han creado las herramientas más potentes para poder detectarlos. A veces se pueden localizar examinando los sistemas infectados con una versión “reducida” de Windows XP llamada Windows PE que se puede ejecutar desde CD-ROM.
Los expertos de Microsoft han desarrollado también una herramienta llamada Strider Ghostbuster que puede detectarlos comparando las versiones de Windows “limpia” e “infectada” y buscando diferencias que puedan alertar de que un rootkit está ejecutándose (vea http://research.microsoft.com/research/pubs/view.aspx?type=Technical%20Report&id=775). Pero de momento la única manera de eliminar los rootkit es borrar por completo el disco duro infectado y reinstalar el sistema operativo desde cero.
