Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)
Como algunos sabrán esta semana hubo un informe de Kaspersky, empresa proveedora de Antivirus, según el cual aproximadamente 4,5 millones de computadoras con sistema operativo Windows estarían infectadas con el rootkit llamado TDL4 (también conocido como TDSS /Alureon).
El TDL4 es un rootkit que infecta el MBR (Master Boot Record) de la computadora. El MBR contiene el primer código que se cargará durante el arranque de la computadora, por lo que infectar el MBR le da una enorme ventaja al virus, ya que se carga antes que nada, incluyendo el Antivirus.
Los 4,5 millones de equipos afectados no deberían ser una sorpresa porque los rootkits generalmente rompen con un ciclo de detección habitual que se puede describir como:
- El usuario ve actividad sospechosa en su equipo, por ejemplo un nuevo proceso en ejecución.
- El usuario envía el expediente al proveedor de antivirus.
- El proveedor de antivirus crea la detección.
Ahora el problema es, ¿cómo puede el usuario enviar algo a su proveedor de antivirus, ya que no puede «ver» algo? Bootkits (o rootkits) de este tipo han sido siempre un dolor de cabeza para los vendedores de antivirus por este motivo.
También esta semana, Microsoft lanzó un blog que describe otro Bootkit, que detecta (pero no elimina) como Trojan: Win32/Popureb.E.
La herramienta gratuita de Kaspersky, llamada TDSSKiller (versión 2.5.8.0), es uno de las pocas que efectivamente pueden detectar si un ordenador está infectado con este rootkit, que Kaspersky llama: Rootkit.Win32.BackBoot.gen.
El problema con este nuevo bootkit es que se fusiona con la limpieza. Por ejemplo, cuando el producto de seguridad intente Escribir, el troyano cambiará Escribir por Leer. Esto hará que el producto de seguridad crea que la limpieza fue un éxito, cuando no es así.
Más información en:
infoALEPH