A FONDO

Qué es el virus rootkit, cómo detectarlo y eliminarlo, paso a paso



Dirección copiada

Un rootkit es un tipo de virus que permite el acceso a un dispositivo o equipo de manera remota. Descubre cómo detectarlo y eliminarlo paso a paso

Publicado el 20 sept 2024



Rootkit
¿Qué es un virus Rootkit?

¿Qué es el virus rootkit?

El virus rootkit es un software malicioso por el cual un hacker tiene la capacidad de introducirse en un dispositivo y hacerse con su control.

Aunque aparenta ser una sola aplicación, la mayoría de los rootkit se componen de diferentes herramientas que, usadas conjuntamente, permiten tener el control del dispositivo.

El virus facilita al ciberdelincuente hacerse con datos personales, financieros, instalar otras aplicaciones o unir el equipo a un botnet para propagar spam e incluso realizar un ataque de denegación de servicio (DDoS).

El término ‘rootkit’ viene de los sistemas operativos Unix y Linux en los que la cuenta de administración lleva el nombre de ‘root’; por su parte, ‘kit’ deriva del conjunto de aplicaciones que facilitan el acceso no autorizado para administrar el dispositivo.

¿Cómo funciona?

Al operar cerca o dentro del sistema operativo, son capaces de ejecutar comandos en el equipo o dispositivo en el que se ha infiltrado.

Algunos contienen registradores de teclado por lo que pueden capturar todo lo que se escribe y de esta forma robar fácilmente la información.

Cuando un rootkit ataca a un dispositivo consigue la administración remota del mismo, al tiempo que evita ser detectado.

A diferencia de un malware habitual, los rootkits introducen un fallo fundamental en el dispositivo que afectan, sin comprometer archivos o carpetas.

Así, consiguen alterar el sistema operativo, que le va informando según sus objetivos. Los rootkits utilizan controladores del sistema que se adhieren al kernel (núcleo del sistema) para intermediar en sus funciones.

Una vez instalado, redirige las funciones para que ejecuten su propio código en vez del del sistema operativo. De este modo, el hacker accede a archivos e información sin que el usuario lo sepa.

¿Cómo se instalan los rootkits?

Los ciberdelincuentes utilizan troyanos o aprovechan las vulnerabilidades del sistema para hacerse con el control del dispositivo mediante los rootkits.

Otras formas de infección pueden ser a través de USB, emails, archivos para descargar y aplicaciones móviles infectadas.

Aunque existen diferentes métodos, el más usual es a través del phishing, por el cual la víctima descarga el programa sin percatarse de ello.

Al ejecutarse el programa, se oculta en otro proceso y le da al hacker el mando para poder controlar el equipo. También, puede utilizar una aplicación o un sistema operativo con alguna vulnerabilidad o mediante un PDF ya infectado.

Tipos de virus rootkit

  • Existen varios tipos: los rootkits para hardware o firmware pueden infectar discos duros, routers o BIOS de un equipo.

A este tipo de virus le interesa, más que el sistema operativo, el firmware para instalar aplicaciones dañinas que son difíciles de detectar. Aunque no son muy comunes, son una auténtica amenaza para la seguridad online.

  • Los rootkits para el cargador del SO atacan al inicio del sistema operativo reemplazando el cargador original por otro modificado.
  • Por su parte, los rootkits de memoria se ocultan en la RAM para operar en segundo plano. Estos no inyectan ningún código permanente por lo que desaparecen cuando se reinicia el sistema, aunque su eliminación total es más dificultosa.
  • Los rootkits para aplicaciones sustituyen los del sistema por otros propios, de esta forma los hackers acceden al equipo cada vez que la víctima abre una de ellas.
  • Pero los rootkits de núcleo son especialmente peligrosos porque afectan al core del sistema operativo y pueden infiltrar un código que modifique el funcionamiento del mismo.
  • Los rootkits virtuales hacen funcionar el sistema operativo original en una máquina virtual para interceptar las acciones son el hardware. Estos son quizás, los más difíciles de detectar.
  • Por último, los híbridos combinan poniendo algunos de sus componentes en el nivel de usuario y otros en el kernel.

¿Qué son los Bootkits?

Como se trata de un programa malicioso, los rootkits también evolucionan constantemente. De esta manera han surgido los Bootkits.

Se trata de un rootkit que se basa en el modo de núcleo (kernel) que se especializa en reemplazar el gestor de arranque de un ordenador para desactivar los mecanismos de seguridad del sistema operativo.

Hoy en día muchos teléfonos móviles, principalmente los de sistema operativo Android, se infectan con este virus a través de descargas de apps poco seguras. Es lo que se llama un mobile rootkit.

¿Cómo detectar un malware rootkit?: principales señales

Esta clase de malware está diseñada para pasar inadvertida, por eso no son fáciles de detectar. Como tienen el control total del dispositivo incluso pueden tenerlo sobre el software elegido para su eliminación.

De hecho, la mayoría de los programas antivirus basan la búsqueda en rootkits ya conocidos.

Existen algunos indicios que pueden alertar de su presencia: así, Windows puede mostrar pantallazos azules que te obligan a reiniciar constantemente.

También, si observamos un comportamiento inusual en el navegador web como puede ser vínculos que redirigen a sitios extraños.

Además, el dispositivo presenta problemas de rendimiento, tarda mucho en iniciarse o es más lento de lo habitual.

A veces, se producen cambios no autorizados en los ajustes de Windows; por ejemplo, el fondo de pantalla no es el elegido o bien se producen modificaciones en la barra de herramientas, o en la fecha y hora.

Pero el mejor modo de encontrar un rootkit es realizar una búsqueda o análisis antirootkits con una solución específica.

¿Cómo se elimina un rootkit?

Es un tema complejo que requiere herramientas especializadas para tal labor.

Incluso a veces, se tiene que desinstalar el sistema operativo y comenzar nuevamente de cero para erradicar el problema.

Si hay que recurrir a ello, es preferible no utilizar el instalador que viene incluido en Windows, por ejemplo, sino utilizar un disco de instalación externo.

En caso de estar infectada la BIOS, se necesita la ayuda de un profesional.

Lo mismo ocurre en un Mac, lo ideal es reinstalar el sistema operativo.

Lo habitual, y antes de tener que llegar a ello, el primer paso es ejecutar un software de eliminación de rootkits; en segundo lugar, realizar un análisis al arranque pues es la manera de eliminar el virus en el proceso de inicio del equipo antes de que actúe.

En tercer lugar, si los pasos anteriores no han resultado con éxito, se recomienda instalar el sistema operativo.

Ejecutar un programa anti rootkit

Para prevenir, lo más recomendable es instalar un programa anti rootkit.

Si bien es necesario tener siempre el software actualizado, utilizar soluciones integrales de seguridad y mantenerse alerta ante el phishing, una herramienta anti rootkit proporciona la seguridad más efectiva contra este tipo de infecciones.

Existen herramientas técnicas diseñadas específicamente contra este tipo de virus, por ejemplo, el llamado rootkit scan, que es una función que algunos programas de seguridad incluyen, aunque también existen programas concretos.

También se puede ejecutar mediante un boot CD, que inicie de forma aislada el sistema operativo, de manera que un rootkit que esté inactivo pueda detectarse con el rastreador de virus en el CD.

Ejemplos de virus rootkit

Existen muchos ejemplos de este virus en todo tipo de sistema operativo.

Los primeros rootkits surgieron a principios de los noventa y se dirigían exclusivamente a sistemas operativos del tipo Unix, como Linux.

Por destacar algunos de ellos creados para Windows, TDSS o Alureon fue descubierto en 2007 y a veces se confunde con un troyano.

Todo sobre el virus rootkit.

Su objetivo es manipular el registro de Windows para desactivar funciones de actualización o tareas o incluso el antivirus para crear un botnet.

Otro ejemplo es ZeroAccess, que infecta el registro de arranque principal para desactivar Windows Defender, Windows Security Center y el Firewall.

Ya en 2019, Scranos se crea para robar contraseñas y datos bancarios almacenados en el dispositivo. Otra de sus características es que convierte el equipo en una granja de clics para generar ingresos derivados de suscripciones de YouTube de forma oculta.

Consejos para protegerse de un rootkit

Lo ideal es practicar hábitos de seguridad antes de que se produzca el ataque y así evitar tener que hacer la complicada tarea de eliminarlo.

Hay que recelar de los archivos desconocidos y no abrirlos, pueden ser ataques de phishing.

Obtener el software de fuentes seguras es otra de las recomendaciones para tener en cuenta como lo es instalar las actualizaciones pertinentes tan pronto lleguen al dispositivo.

Además, no se aconseja usar la cuenta de administrador mientras se navega por Internet, pues cuenta con menos protección que la de usuario.

Para los más expertos, y con el objeto de evitar que un rootkit infecte la BIOS y se haga prácticamente imposible de eliminar, se aconseja una protección contra escritura. Eso sí, siempre contar con un antivirus integral que sea capaz de detectar todo tipo de malware.

Artículos relacionados

Artículo 1 de 5