Cómo detectar, identificar y eliminar un rootkit en Windows

#antivirus #seguridad-informatica

Los rootkits son lo más peligroso dentro del mundo del malware.

Nota: Este artículo está orientado a usuarios con un nivel bajo de conocimientos del tema, no a profesionales de la seguridad informática.

Existen muchos rootkits en la actualidad, tanto para sistemas operativos Windows, como para UNIX / Linux, Android, Mac OS X (combinación de Mach y BSD), entre otros.

Un rootkit para Windows en la mayoría de casos está diseñado para ocultarse a sí mismo, además de ocultar a otros troyanos, virus, ransomware y malware en general. Los rootkits son complicados de eliminar, porque de hecho es incluso complicado detectar que efectivamente están ahí. La mayoría de antivirus incorporan mecanismos para la detección de rootkits, aunque eliminarlos no siempre es posible, depende de cada rootkit en particular. Existen variantes de rootkits, que son indetectables por la mayoría de los antivirus, y son las más peligrosas. Los rootkits más peligrosos son los que funcionan en modo kernel.

El objetivo principal de un rootkit, en el caso concreto de los rootkits para Windows que se instalan en PCs domésticos (ordenadores de escritorio, ordenadores portátiles, etc.) de casas particulares, es abrir una "puerta trasera", sin que el usuario se dé cuenta en ningún momento, a través de la cuál determinadas personas anónimas puedan "entrar ilegalmente" (a través de la conexión a Internet activa).

Lógicamente, las acciones (ilegales) que se realizan utilizando la dirección IP de ese PC infectado, parece que las ha hecho el propietario de ese PC, aunque no sea realmente así, ya que las han hecho personas anónimas que pueden estar en cualquier país del mundo y que es casi imposible saber de dónde exactamente porque pueden estar utilizando una VPN o similar. 

En muchos casos, los rootkits actúan principalmente como troyanos especialmente ocultos, esperando "órdenes", es decir, estan en "modo zombi". Órdenes que se reciben y ejecutan al instante, como si fueran "soldados". Pueden haber miles de PCs infectados con ese rootkit y por lo tanto un "jefe anónimo" desde cualquier país, puede lanzar una orden que todos esos "soldados zombis" realizarán al instante.

Es alarmante el hecho de que una persona anónima desde otro país pueda estar utilizando nuestro ordenador sin que nosotros lo sepamos, realizando todo tipo de cosas ilegales, aparte, claro está, de tener acceso a todos nuestros documentos privados y personales de Office, ya sean documentos de Word, hojas de cálculo de Excel, presentaciones de Powerpoint, fotografías, vídeos y demás. Puede ocurrir (y ocurre) que personas de diferentes países se conectan en cualquier momento del día a nuestro ordenador infectado con un rootkit, y se descargan esos ficheros altamente privados y personales, sin que nosotros nos enteremos, como si todas las carpetas (directorios) de nuestro ordenador estuviesen disponibles a cualquiera como si fuese un servidor FTP abierto y sin password de acceso.

Aparte de eso, por si no fuera poco, determinados rootkits incluyen "módulos" que permiten activar la webcam y por lo tanto vernos en directo, sin que nosotros lo sepamos. Hay personas que utilizan una pegatina, sticker o similar para tapar la webcam cuando no la están utilizando para Skype o similares, es algo recomendable, aunque no mucha gente lo hace porque no entienden el peligro que existe. Hablar de ello con usuarios domésticos con bajos conocimientos suele ser contraproducente, por la ignorancia supina que tienen sobre estos temas. Una alternativa podría ser deshabilitar el dispositivo de la webcam en el administrador de dispositivos de Windows, cuando no se esté utilizando, aunque hay que tener en cuenta que es posible que dichos "módulos" puedan habilitar automáticamente la webcam si está deshabilitada (puede hacerse mediante programación), sin que nos enteremos, por lo tanto el único método totalmente seguro sigue siendo tapar la cámara, cuando no la utilicemos para nada.

Otro de los "módulos malignos" de los rootkits es el que les permite capturar las teclas pulsadas, de forma que aparte de robar cierta cantidad de passwords almacenados en el registro de Windows de forma automática (eso lo consiguen mediante código programado, es decir, mediante una aplicación), también pueden robar nuestras contraseñas tecleadas y en general todo lo que escribimos, por ejemplo incluso los números de tarjetas de crédito. Es lo que se denomina el "módulo keylogger". Los bancos son conscientes de este grave problema y es por eso que aplican desde hace años sistemas de seguridad  específicos como son por ejemplo las tarjetas de claves, la verificación mediante SMS, entre otros.

La principal señal de alarma que un usuario de Windows (ya sea Windows 7, Windows 10, o cualquier otro) puede tener es notar un "comportamiento extraño". Por ejemplo puede abrirse y cerrarse rápidamente una "ventana negra" (consola CMD, es decir, cmd.exe, también se conoce como "símbolo del sistema") varias veces. O puede abrirse de repente sin saberse el motivo y quedarse abierta.

En determinados casos es posible que veamos que se abren ventanas del explorador de Windows sin motivo alguno, o veamos que aparecen carpetas y ficheros con nombres extraños. En algunos casos muy extremos, dependiendo del rootkit o troyano del que se trate, si otras personas están conectadas en ese momento, podría darse la circunstancia de que veamos que el puntero del ratón se mueve solo o que se abre Firefox o Chrome automáticamente y se ven las páginas que el atacante anónimo está visitando en ese momento, usando nuestro PC infectado.

Otro síntoma puede ser que en el administrador de tareas, al ver la lista de tareas, aparecen nombres de ficheros y carpetas extraños, formados solamente por números y letras sin sentido, aunque precisamente una de las características de algunos rootkits es que ocultan sus procesos "malignos" al sistema operativo Windows, de forma que es posible que ni siquiera aparezcan en el administrador de tareas, a pesar de que están ahí, funcionando y activos.

También puede ocurrir que determinados procesos activos que incluyen la palabra "Windows" (para intentar engañar al usuario y que piense que son genuinos de Microsoft) estén consumiendo muchos recursos. Esos procesos (suponiendo que aparezcan en la lista de tareas) son del rootkit, no son de Microsoft. Los genuinos nombres ApplicationFrameHost.exe, sihost.exe, svchost.exe etc. pueden ser usados para desconcertar al usuario, por ejemplo que aparezca WindowsApplicationFrameHost.exe y que un usuario crea que es genuino.

También se puede sospechar (aunque depende de cada rootkit) cuando al hacer un  "netstat -a" (en la consola de comandos CMD) vemos muchas conexiones activas con estado ESTABLISHED, en un momento que no estamos haciendo nada (no estamos usando Firefox ni Chrome ni ningún otro navegador de ningún tipo, no usamos ninguna otra aplicación que requiera una conexión activa a Internet -por ejemplo Skype o similares-, y tampoco es que el antivirus o el firewall estén descargando actualizaciones ni nada similar). Eso es claramente que hay otras personas conectadas a nuestro ordenador, personas anónimas que pueden estar en cualquier país. Determinados rootkits pueden ocultar también esas conexiones y podría no verse nada extraño con el netstat. En ese caso habría que probar con la herramienta TCPVIEW de SysInternals, o también probar con SMARTSNIFF de Nirsoft (recomendable instalar WinPcap / LibPcap previamente) y tener en cuenta opciones como npcap. Dichas herramientas son gratuitas. Hay que insistir en que incluso con estas herramientas avanzadas es posible que no se muestren las conexiones "malignas" activas, porque el rootkit se encarga de ocultarlas.

Un usuario doméstico, ante cualquier sospecha, puede seguir estos pasos, que por lo menos podrán darle una orientación acerca de si está infectado o no, y de qué se trata (rootkit funcionando como troyano, sólo rootkit...)

Estas aplicaciones gratuitas pueden encontrarse muy fácilmente utilizando cualquier buscador, por lo cuál no es necesario indicar los enlaces de descarga.

Conviene hacer capturas de pantalla de los resultados, y guardar los ficheros de texto resultado de los análisis que vayamos obteniendo en un pendrive USB, para luego poder consultar a otras personas mediante e-mail, en foros, en redes sociales o por otros medios.

Es posible que el propio rootkit activo intente bloquear el acceso a determinadas páginas web de descarga (de Kaspersky, GMER, etc.), en ese caso habrá que descargar los ficheros desde otro ordenador y copiarlos a un pendrive USB, para luego poder usarlos en el ordenador infectado. También hay rootkits que cuando detectan dichas aplicaciones de seguridad informática, las borran directamente o bloquean su ejecución, de forma que al intentar lanzar esas aplicaciones, no es posible, aparecen errores extraños y no se ejecutan. En ese caso lo que se puede intentar es renombrar los ficheros de instalación (el .EXE) y poner un nombre inventado con letras al azar, por ejemplo abcd.exe, o también es posible renombrar a: explorer.exe o quizás iexplore.exe. La aplicación funcionará correctamente porque el rootkit activo (o troyano activo) no la habrá detectado. Si a pesar de renombrar sigue sin poder ejecutarse, se puede intentar renombrar la extensión, en lugar de .EXE poner alguna de estas extensiones que también son ejecutables: .COM .PIF .SCR o incluso intentar estas extensiones: .BAT .CMD .VB .VBE .VBS .WSH

Atención: es necesario seguir estos pasos por orden (recomendado), porque por ejemplo si se ejecuta GMER después de TDSSKiller, lo que ocurrirá es que GMER creerá que el sistema que ha utilizado TDSSKiller, para detectar en profundidad, es un rootkit, y en realidad no lo es. Por lo tanto, por orden.

Previamente es necesario descargar estas aplicaciones:

- Descargar las utilidades de SysInternals, concretamente el Process Explorer (procexp.exe).

- Descargar Malwarebytes (la versión gratuita es suficiente para detectar).

- Descargar Malwarebytes Anti-Rootkit (específico para rootkits)

- Descargar GMER (siguiendo las instrucciones para que se descargue un fichero con nombre al azar)

- Descargar Kaspersky Virus Removal Tool (KVRT) de Kaspersky Lab.

- Descargar TDSSKiller de Kaspersky Lab.

El primer paso consiste en utilizar Process Explorer (procexp.exe) para ver un listado completo de todos los procesos activos, hay que activar la verificación mediante Virustotal.com (en la configuración de procexp.exe) de forma que aparecerán en rojo los procesos "malignos" (en la columna VirusTotal, que deberá configurarse para ser mostrada si no aparece). Es posible que el rootkit activo oculte sus procesos, y no se vea nada extraño, en ese caso las cosas se complican, ya que como se ha mencionado anteriormente, ciertos rootkits son difíciles de detectar. Suponiendo que aparezcan resultados de Virustotal en rojo, accediendo a las páginas correspondientes de los análisis de  Virustotal y leyendo los nombres, comentarios, etc. podremos tener ya una idea aproximada de qué se trata.

El segundo paso consiste en realizar una comprobación completa con el Malwarebytes clásico. Por supuesto hay que actualizarlo previamente, para que esté totalmente actualizado. En la configuración hay que activar la detección de rootkits (suponiendo que esté disponible). Si se trata de un rootkit o troyano "conocido", es muy posible que ya sepamos el nombre concreto, habiendo ya también leído el análisis de Virustotal previamente a través de Process Explorer. Suponiendo que no haya detectado nada extraño, probaremos con Malwarebytes Anti-Rootkit, que es más específico.

Un tercer paso podría ser comprobar con GMER. Se trata de una aplicación para usuarios expertos, pero los usuarios domésticos en general pueden utilizarlo en su forma más "simple" para tener una orientación. Consiste en ejecutar GMER (el fichero .EXE formado por números y letras al azar) y solamente pulsar el botón SCAN (no pulsar nada más, ni marcar ni seleccionar nada). Esperar unos minutos a que realice el análisis. Si al finalizar el análisis aparecen algunas líneas de color rojo y el propio GMER avisa de que hay un rootkit activo, será la confirmación que estábamos buscando ya que esos son los ficheros (procesos)  activos del rootkit. Con SAVE es posible guardar el informe del análisis en un fichero de texto.

El cuarto paso consiste en utilizar KVRT. Se trata de 1 único fichero ejecutable (.EXE). Se actualiza automáticamente sin tener que hacer nada concreto, por lo cuál siempre tiene instalada la última versión actualizada de la base de firmas de virus, troyanos, etc. En la configuración de KVRT hay que marcar la opción de analizar todo el disco duro. Esperar unos minutos a que realice el análisis completo y guardar el informe de resultados.

El quinto y último paso es utilizar TDSSKiller, que realizará un análisis con mucha mayor profundidad que KVRT, por lo cuál en la configuración hay que activar todas las opciones y nos indicará que para ello es necesario reiniciar Windows. Debemos hacerlo porque necesita instalar un "mecanismo" (driver) avanzado para detectar incluso los rootkits más ocultos. Reiniciamos y procedemos a realizar el análisis. Dependiendo del resultado del informe final, sabremos efectivamente si se trata de un rootkit o no. 

Finalmente, teniendo el "diagnóstico", nos queda por lo tanto aplicar el "tratamiento". Hay que tener en cuenta que el propio TDSSKiller puede indicarnos que puede eliminar el rootkit (en ciertos casos), pero el proceso no es 100% seguro, es decir, el "proceso de limpieza" puede fallar, depende del rootkit que se trate.

Hay expertos que recomiendan que ante el "diagnóstico" de rootkit activo, lo que hay que hacer es, lamentablemente, "salvar lo que se pueda" ya que realmente nunca podremos saber si el rootkit ha sido eliminado totalmente o no.

Salvar lo que se pueda significa, por ejemplo, conectar un disco duro externo por USB y copiar a ese disco duro externo todos los ficheros privados que sean importantes para nosotros (por ejemplo los de Word, Excel, etc. fotografías, vídeos y demás ficheros de interés).

Se suele recomendar reinstalar Windows, arrancando desde un pendrive USB, y en el proceso de instalación debemos asegurarnos de eliminar la partición activa (que contiene el rootkit) y crear una nueva partición en la que instalar Windows, es decir, se trata de reinstalar Windows completamente desde cero.


WhatsApp    Twitter    Facebook    Google    LinkedIn    RSS