Microsoft | Centro de protección

contra malware

Informe de amenazas: rootkits

Junio de 2012

1

Informe de amenazas del Centro de protección contra malware de Microsoft: rootkits

Este documento tiene fines exclusivamente informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPRESA, IMPLÍCITA O PREVISTA POR LEY, CON RESPECTO A LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO.

Este documento se proporciona “tal cual”. Tanto la información como las opiniones

expresadas en este , incluidas las direcciones URL y otras referencias a sitios web de Internet,

pueden cambiar sin previo aviso. Usted acepta el riesgo de utilizarlo.

Copyright © 2012 Microsoft Corporation. Todos los derechos reservados.

Los nombres de los productos y las compañías reales aquí mencionados pueden ser marcas comerciales de sus respectivos propietarios.

Autor

Heather Goudey – Centro de protección contra malware de Microsoft

Colaboradores

Jason Conradt – Tecnologías de protección de Microsoft

Peter Ferrie – Centro de protección contra malware de Microsoft

Joe Johnson – Tecnologías de protección de Microsoft

Scott Molenkamp - Centro de protección contra malware de Microsoft

Hamish O’Dea – Centro de protección contra malware de Microsoft

Oleg Petrovsky – Centro de protección contra malware de Microsoft

Tim Rains – Comunicaciones de Informática de confianza de Microsoft

Jasmine Sesso – Centro de protección contra malware de Microsoft

Jeff Williams – Centro de protección contra malware de Microsoft

Marketing de productos

Ken Malcolmson – Comunicaciones de Informática de confianza de Microsoft

2

Tabla de contenido

Introducción .............................................................................................................................. 3

La finalidad de los rootkits. ................................................................................................... 3

Etimología del rootkit ............................................................................................................ 3

Cómo usan los atacantes los rootkits ........................................................................................ 4

Cómo funcionan los rootkits ................................................................................................. 4

Alcance del problema de los rootkits ........................................................................................ 7

Familias de malware destacadas que utilizan rootkits .............................................................. 8

Protección contra rootkits ....................................................................................................... 11

Orientación general: defensa contra software malintencionado y potencialmente no

deseado ................................................................................................................................... 13

Información adicional .............................................................................................................. 14

3

Introducción

En este informe de amenazas del Centro de protección contra malware de Microsoft (MMPC)

se examina uno de los tipos más insidiosos de malware que amenazan a las organizaciones y a

los particulares: el rootkit. En el informe se examina cómo los atacantes usan rootkits y cómo

funcionan los rootkits en los equipos afectados. También se describen algunas de las familias

de malware más extendidas que usan la funcionalidad de rootkit activamente, antes de

presentar algunas recomendaciones que pueden ayudar a las organizaciones a mitigar los

riesgos de los rootkits.

La finalidad de los rootkits.

Un rootkit, o la funcionalidad de rootkit, permite al malware actuar de forma sigilosa.

Muchas familias modernas de malware deben permanecer durante un período prolongado en

un equipo afectado para que el atacante considere que han servido para su propósito. La

finalidad de muchos tipos de malware consiste en robar datos confidenciales o realizar otro

uso indebido de los recursos, como usar un equipo para efectuar clics fraudulentos1. El

malware necesita permanecer oculto en el equipo afectado para poder supervisar, filtrar,

capturar y sacar a la luz datos valiosos o subvertir los recursos controlados por el atacante. La

funcionalidad de rootkit proporciona la discreción necesaria para que el malware permanezca

oculto mientras ejecuta su carga o acciones como descargar archivos, cambiar

la configuración del equipo, registrar pulsaciones de teclas, etc.

Etimología del rootkit

Merece la pena dedicar un momento a analizar el origen del término “rootkit.” Originalmente,

un rootkit se consideraba un conjunto de herramientas que un atacante podía usar para

obtener la “raíz” (“root”) o el nivel máximo de privilegios reservado normalmente a los

administradores de sistemas, en un sistema UNIX, para después enmascarar los cambios

resultantes. En los últimos años, el término rootkit o “funcionalidad de rootkit” se refiere de

manera más generalizada al malware que usa la funcionalidad de sigilo para ocultarse a sí

mismo y evitar su detección y eliminación.

1 “Haz clic en Fraude: los cibercriminales quieren que te ‘guste’:” en el blog Security Tips & Talk, http://blogs.msdn.com/b/securitytipstalk/archive/2010/07/08/click-fraud-cybercriminals-want-you-to-like-it.aspx

4

Cómo usan los atacantes los

rootkits

Los creadores de malware pueden dedicar un gran número de recursos para equipos, redes y

organizaciones. Con un rootkit, los atacantes esperan proteger y mantener el ataque el mayor

tiempo posible. El valor real de los datos y recursos que persiguen los atacantes convierte su

esfuerzo no solo en una práctica viable, sino también en un ejercicio rentable. Cuanto más

valiosos son los datos, mayor capital invierten los atacantes en las herramientas necesarias

para un ataque dirigido con éxito. El grado de inversión y la importancia de pasar

inadvertidos convierten a los rootkits en una amenaza que no debe subestimarse.

Una vez realizado un ataque, y una vez que el atacante ha establecido una presencia en el

sistema o sistemas objetos del ataque, los síntomas de ese ataque deben enmascararse, al igual

que la presencia continua del malware y otras herramientas que el atacante podría usar. Una

de las formas más eficaces que tiene un atacante para evitar la detección es no proporcionar

ninguna pista del ataque. Si la organización afectada no sabe que ha sido atacada, es muy

improbable que realice una investigación adicional o aplique medidas de seguridad más

estrictas para descubrir el ataque, o que ponga en práctica nuevas medidas de corrección o

protección.

Un rootkit no detectado infiltrado con éxito podría permanecer durante años robando datos y

recursos del sistema afectado. Aunque las tecnologías antivirus son bastante buenas a la hora

de detectar de manera general y proactiva muchos tipos del malware, en la práctica, la

capacidad de detectar nuevo malware depende de la inteligencia. Los extremos a los que son

capaces de llegar los autores de los rootkits para evitar que se descubran sus creaciones

dificulta la capacidad de reunir la inteligencia necesaria. Esto plantea a las organizaciones

preguntas difíciles a las que deben responder. Por ejemplo, ¿cómo puede una organización

proteger de manera eficaz a los usuarios de amenazas que, sin la debida inteligencia, son

simples hipótesis? ¿Y cómo puede la organización determinar correctamente el alcance del

problema sin la debida inteligencia sobre la prevalencia de la amenaza? Un mejor

entendimiento del funcionamiento de los rootkits y de los tipos de malware conocidos que

los utilizan permitirá a la organización responder más eficazmente a estas preguntas.

Cómo funcionan los rootkits

Los rootkits funcionan básicamente introduciéndose ellos mismos en un sistema para moderar

o filtrar las solicitudes dirigidas al sistema operativo. Al moderar las solicitudes de información,

el rootkit puede proporcionar datos falsos o incompletos para dañar totalmente la integridad

del sistema afectado. Esta es la función principal de los rootkits y explica el hecho de que sean

una grave amenaza: una vez instalado el rootkit, ya no es posible confiar en la información

proporcionada por el sistema afectado.

5

Por ejemplo, la solicitud de una lista de procesos en un equipo afectado por un rootkit puede

devolver una lista de todos los procesos en ejecución menos los relacionados con el rootkit u

otros componentes que este protege. Normalmente, el malware usa la funcionalidad de

rootkit para ocultar archivos, modificaciones en el Registro, rastros de conexión de red y

procesos, además de otros posibles indicadores de la presencia del malware.

Hay varios lugares del sistema operativo en los que un rootkit puede introducirse para

realizar su función de filtrado. El “tipo” de rootkit se determina por el lugar en que realiza la

subversión de la ruta de ejecución. Por este motivo, los rootkits reciben generalmente el

nombre de rootkits de modo usuario o rootkits de modo kernel:

Rootkits de modo usuario: Este tipo de rootkit filtra las solicitudes de información que

se originan en las aplicaciones de modo usuario interceptando funciones de la interfaz de

programación de aplicaciones (API). Este tipo de interceptación abarca una serie de

técnicas empleadas para modificar o aumentar el comportamiento de las aplicaciones

interceptando llamadas a funciones, mensajes o eventos transmitidos entre componentes

de software. El código que controla estas llamadas a funciones, eventos o mensajes

interceptados se denomina “gancho” (“hook”). Esta funcionalidad de rootkit es más

accesible a los desarrolladores de malware, ya que escribir código que funcione en modo

usuario es normalmente más sencillo que escribir código en modo kernel2. Sin embargo,

los “ganchos” de modo usuario son también normalmente más fáciles de detectar.

Rootkits de modo kernel: Este tipo de rootkit realiza sus operaciones de filtrado e

interceptación a nivel de kernel. El filtrado en este nivel es más eficaz, pero también es

más difícil que consiga sus objetivos sin dañar el sistema afectado. Una forma de

introducir código en el kernel es usar un controlador de dispositivo. Son varios los

métodos que se utilizan para la interceptación en este nivel, como el gancho insertado

(“inline hooking”), donde el código se modifica in situ, o la modificación de la tabla de

envíos de servicios del sistema para interceptar determinados eventos.

Algunos rootkits más recientes, denominados a menudo rootkits MBR, o “bootkits”,

modifican el registro de arranque maestro (MBR) para controlar el sistema e iniciar el proceso

de carga del rootkit lo más pronto posible en la secuencia de arranque3.

Conceptualmente al menos, es posible adentrarse aún más en la ruta de ejecución, y hay

varias pruebas de concepto de rootkits que lo demuestran. El concepto “Blue Pill”4 se basa en

la idea de usar un hipervisor ligero para crear una instancia del sistema operativo que

interactúe con el usuario afectado. El hipervisor es la plataforma de virtualización específica

del procesador que permite que varios sistemas operativos aislados compartan una sola

plataforma de hardware. El hipervisor podría interceptar y modificar prácticamente todas las

solicitudes de datos, independientemente de su origen, debido a su posición entre el sistema

2 Kasslin, K. et al (2005) Hide n’ seek revisited – Full stealth is back. Virus Bulletin Conference, octubre de 2005 3 Descripción de DOS/Auleron en la enciclopedia de malware de MMPC www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=DOS%2fAlureon 4 http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html

6

operativo “físico” y el sistema operativo virtual del usuario. Aún más dentro de la ruta de

ejecución cabe la posibilidad de que el firmware afectado intercepte datos a nivel de red5.

Cuanto más profundamente pueda insertarse el rootkit en la ruta de ejecución para

interceptar y filtrar las solicitudes dirigidas al sistema operativo, mayor será su capacidad de

proporcionar invisibilidad al malware. Sin embargo, cuanto mayor sea el nivel de

profundidad del rootkit, más difícil será implementarlo correctamente, y más complicado y

caro será desarrollarlo. Por consiguiente, cuanto más se adentre el rootkit en la ruta de

ejecución, más difícil será eliminarlo. En la siguiente figura se ilustra el posible efecto de un

ataque de rootkit de modo kernel.

Figura 1. Posible efecto de un ataque de rootkit de modo kernel

5 Presentation at Hack.lu:Reversing the Broadccom NetExtreme’s firmware – Blog de Sogeti Esec Lab, http://esec-lab.sogeti.com/dotclear/index.php?post/2010/11/21/Presentation-at-Hack.lu-%3A-Reversing-the-Broacom-NetExtreme-s-firmware

7

Alcance del problema de los

rootkits

Muchas familias modernas de malware utilizan técnicas de rootkit para ocultarse de los

usuarios afectados y evitar su posible detección y eliminación. El uso de la funcionalidad de

sigilo por parte del malware ha aumentado considerablemente en la última década. A pesar

del incremento en el uso de estas técnicas, el MMPC ha reunido datos de análisis sobre

muchas de estas amenazas, y ha empleado gran cantidad de tiempo y esfuerzo en

investigación para ayudar a proteger a los usuarios de la tecnología de estas amenazas.

Sin embargo, hay algunos rootkits, y otro tipo de malware, que se han desarrollado

específicamente para atacar a determinadas organizaciones y que, por tanto, no son

frecuentes en el panorama general de las amenazas, lo que dificulta su detección. No es fácil

determinar el alcance de un determinado tipo de amenaza de malware o rootkit ni el número

de organizaciones a las que afecta. Por este motivo, a pesar de los datos de análisis actuales,

hay pruebas suficientes que indicant que estas amenazas son importantes y que todas las

organizaciones que poseen datos de valor deben tomar las debidas precauciones.

8

Familias de malware destacadas

que utilizan rootkits

Algunas de las familias de malware más predominantes en la actualidad utilizan la

funcionalidad de rootkit. En la lista siguiente se describen algunas de las más importantes:

Win32/Alureon6. Una familia de troyanos de varios componentes implicada en una gran

variedad de actividades subversivas en línea que generan ingresos de varias fuentes para sus

creadores. Win32/Alureon se asocia sobre todo con la moderación de actividades en línea del

usuario afectado para beneficio del atacante. Como tal, los distintos componentes de esta

familia de malware se han usado para:

Modificar los resultados de búsqueda del usuario afectado (práctica que recibe también

el nombre de secuestro de búsquedas).

Redirigir a los usuarios afectados a sitios web que elige el atacante (conocido también

como secuestro de navegadores).

Cambiar la configuración de DNS para redirigir a los usuarios a los sitios elegidos por el

atacante sin conocimiento del usuario afectado.

Descargar y ejecutar archivos arbitrarios, incluidos componentes adicionales y otro

malware.

Proporcionar publicidad ilegítima.

Instalar software de seguridad falso.

Hacer clics en banners (para la publicidad de pago por clic)

Los autores de Win32/Alureon llevan muchos años desarrollando este malware de manera

activa, implementándolo agresivamente y administrándolo profesionalmente. La propagación

de sus componentes, que otras familias de malware emplean a menudo, y el uso de la

funcionalidad de sigilo convierten a esta familia de malware en una amenaza importante.

Alureon ha utilizado varios métodos para ocultar sus procesos y otros cambios en el sistema,

incluidos los siguientes:

Instalar controladores de dispositivos malintencionados que permiten a Alureon “colarse”

en la tabla de envíos de servicios del sistema (SSDT) y en las API de Windows para

interceptar solicitudes del sistema de archivos que le permitan ocultarse y evitar el acceso

6 Descripción de Win32/Auleron en la enciclopedia de malware de MMPC http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fAlureon

9

a archivos, entradas del Registro y procesos con nombres que contienen una determinada

cadena.7

Infectar controladores de dispositivos del sistema existentes con código malintencionado

que permite a Auleron insertarse en la parte del kernel que controla las operaciones en

disco para ocultar archivos y sectores de disco8. Variantes más recientes de Alureon

realizan estas acciones sin infectar los archivos del sistema.

Infectar el registro de arranque maestro (MBR), incluida la infección del MBR en sistemas

operativos Windows de 64 bits, para burlar la directiva de firma del código en modo

kernel del sistema operativo y la protección PatchGuard.

Win32/Rustock9 (para obtener información detallada sobre la familia Rustock, puede

descargar el Informe de amenazas del Centro de protección contra malware de

Microsoft: Rustock, disponible en http://go.microsoft.com/?linkid=9777259). Una familia de

troyanos de puerta trasera habilitados para rootkit formada por varios componentes y

desarrollada inicialmente para ayudar a distribuir correo no deseado a través de un botnet. Un

botnet es una gran red de equipos afectados controlados por un atacante. Descubierto por

primera vez a principios de 2006, Rustock ha evolucionado hasta convertirse en una amenaza

predominante e invasiva. Algunos informes sugieren que, en su máximo apogeo, un total de

un millón de botnets Rustock fueron responsables de casi el 80 por ciento del tráfico de

correo no deseado, enviando más de 2.000 mensajes por segundo.

Rustock empleaba un método complejo para instalar sus controladores con el fin de dificultar

su detección y eliminación.10 Además, los controladores del rootkit interceptaban funciones

del sistema para ocultar el rootkit y sus componentes. Para ello, se modificaba el SSDT a fin

de interceptar los eventos ZwCreateEvent, ZwCreateKey y ZwOpenKey. Este método permitía

a los controladores del rootkit filtrar las solicitudes que contenían el nombre de cada

controlador y devolver el mensaje STATUS_UNSUCCESSFUL en cada coincidencia

encontrada, lo que impedía su detección. Rustock intentaba también ocultar las operaciones

de red y de E/S del disco. Para ello, un controlador de este rootkit interceptaba el conjunto de

APIs de ntoskrnl.exe y ntdll.dll, y después se comunicaba directamente con el sistema de

archivos NTFS y los dispositivos TCP/IP, como NTFS, IP, TCP, UDP, RawIP e

IPMULTICAST.

Microsoft, en colaboración con socios académicos y del sector, empleó una novedosa

combinación de acciones jurídicas y técnicas para controlar el botnet Rustock en marzo de

7 Descripción de Trojan:WinNT/Alureon.C en la enciclopedia de malware de MMPC www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWinNT%2fAlureon.C 8 Descripción de Virus:Win32/Alureon.A en la enciclopedia de malware de MMPC http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Alureon.A 9 Descripción de Win32/Rustock en la enciclopedia de malware de MMPC http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fRustock 10 Blog Uprooting Win32/Rustock – MMPC Threat Research & Response http://blogs.technet.com/b/mmpc/archive/2008/10/18/uprooting-win32-rustock.aspx

10

2011 como parte del proyecto MARS (Microsoft Active Response for Security)11. Esta acción

permitió reunir pruebas que se incluyeron en una investigación criminal en curso12.

Win32/Sinowal13. Una familia de malware de varios componentes que intenta robar datos

confidenciales, como nombres de usuario y contraseña, de diferentes sistemas. Entre otros

intentos se incluye el de robar los detalles de autenticación de una serie de cuentas FTP,

HTTP y de correo electrónico, así como las credenciales usadas para operaciones bancarias en

línea y otras transacciones financieras. Sinowal, concretamente, intenta atacar y reemplazar

los certificados digitales utilizados por el usuario afectado durante transacciones cifradas de

Capa de sockets seguros (SSL), dañando la integridad de estas comunicaciones. Sinowal

puede proporcionar también una funcionalidad de puerta trasera al atacante remoto, que

permite el acceso y control no autorizados de un equipo afectado que el atacante puede usar

para descargar y ejecutar archivos arbitrarios. Los datos confidenciales capturados por

Sinowal también se pueden subir a un sitio web para que los recupere el atacante.

La carga de robo de datos de Sinowal convierte su prolongada presencia en un equipo

afectado en un factor clave del éxito del malware. Sinowal intenta, por tanto, usar la

funcionalidad de ocultación para mantener su presencia y evitar ser detectado mientras reúne

silenciosamente datos y los envía a un atacante remoto. Al igual que Rustock, Sinowal emplea

también un método complejo para instalar sus controladores. El efecto final de estas

maquinaciones es que el MBR se sobrescribe con código malintencionado, y el controlador

principal se escribe al final de la unidad física14. Con estos cambios aplicados, Sinowal puede

controlar el sistema afectado cargando su controlador en una etapa inicial del proceso de

arranque.

Win32/Cutwail15. Un troyano que descarga y ejecuta archivos arbitrarios. Los archivos

descargados se pueden ejecutar desde disco o insertarse directamente en otros procesos.

Aunque la funcionalidad de los archivos descargados varía, Cutwail descarga normalmente

otros componentes que envían correo no deseado. Cutwail emplea también un rootkit y otras

técnicas defensivas para evitar su detección y eliminación.

Cutwail usa un rootkit de modo kernel. Instala varios controladores de dispositivos para

ocultar sus componentes a los usuarios afectados. Sin embargo, Cutwail no solo puede

ocultarse a sí mismo, sino que también puede impeder la eliminación de sus archivos y de las

entradas del Registro. Para ocultar y proteger sus entradas del Registro, Cutwail intercepta las

funciones ZwDeleteValueKey(), ZwEnumerateKey(), ZwEnumerateValueKey(), ZwOpenKey()

y ZwSetValueKey() en el SSDT. Para proteger sus archivos en disco, también implementa un

controlador de filtro del sistema de archivos.

11 Blog Operation b107 – Rustock botnet takedown - MMPC Threat Research & Response http://blogs.technet.com/b/mmpc/archive/2011/03/17/operation-b107-rustock-botnet-takedown.aspx 12 http://blogs.technet.com/b/microsoft_blog/archive/2011/09/22/rustock-civil-case-closed-microsoft-refers-criminal- evidence-to-fbi.aspx 13 Win32/Sinowal en la enciclopedia de malware de MMPC www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fSinowal 14 VirTool:WinNT/Sinowal.A en la enciclopedia de malware de MMPC

www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=VirTool%3aWinNT%2fSinowal.A 15 Win32/Cutwail en la enciclopedia de malware de MMPC www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fCutwail

11

Protección contra rootkits

La forma más eficaz de evitar ser infectados por rootkits es defenderse contra la instalación

del rootkit. Una vez instalado el rootkit, su capacidad de ocultación dificulta enormemente su

detección y eliminación, y las de sus componentes y otros archivos que pudiera haber

descargado. Por este motivo, parece lógico tomar todas las precauciones posibles para evitar

un posible ataque.

Con este objetivo en mente, es recomendable que las organizaciones se aseguren de que su

perímetro virtual es sólido y seguro invirtiendo en tecnologías de protección, como antivirus

y productos de firewall. Para obtener asesoramiento e información adicional sobre cómo

proteger las organizaciones, consulte la sección Managing Risk de Microsoft Security

Intelligence Report - www.microsoft.com/security/sir/strategy/default.aspx#!section_1.

Asegúrese de que las soluciones antivirus adoptan una exhaustiva estrategia de protección

utilizando la detección tradicional basada en firmas, la detección heurística, funciones de

firma dinámicas y ágiles, y supervisión del comportamiento. Asegúrese de que los conjuntos

de firmas se mantienen actualizados, a ser posible mediante un mecanismo de actualizaciones

automáticas. Para obtener más información sobre las tecnologías antimalware, consulte el

documento del MMPC “Introducing Antimalware Technologies”, disponible en

http://go.microsoft.com/?linkid=9776701.

También es necesario examinar y supervisar con sumo cuidado los posibles puntos de

vulnerabilidad en los sistemas, limitar el uso de tecnologías de alto riesgo a los usuarios de la

organización y aplicar las actualizaciones de seguridad que correspondan a todo el software

de la organización.

Las organizaciones también deben proteger a sus empleados dándoles a conocer los riesgos

que entraña el malware y asegurándose de que reciben la formación adecuada sobre

seguridad. Para obtener más información y orientación, consulte el kit de herramientas de

seguridad en Internet para las organizaciones en

www.microsoft.com/security/resources/powerpoint.aspx.

Para aplicar de manera eficaz estas recomendaciones, se aconseja el uso de algún tipo de

sistema de inspección de red (NIS) y sistema de prevención de intrusiones (IPS).

Una vez aplicadas las medidas de protección, es importante poner en práctica un plan de

vigilancia que supervise los sistemas y examine las posibles desviaciones del tráfico y del

comportamiento en los distintos hosts y en toda la red. Incluso en una organización de

pequeño tamaño, esta puede ser una tarea descomunal. Las organizaciones deben identificar

sus activos de gran valor (por ejemplo, la propiedad intelectual valiosa) y diseñar un plan de

supervisión y análisis centrado en estos activos.

12

Si se detecta un posible ataque, hay otras tecnologías especializadas que se pueden usar.

Muchos productos antivirus incluyen tecnología antirootkit especial. Las soluciones antivirus

de Microsoft incluyen una serie de tecnologías diseñadas especialmente para mitigar los

rootkits, como la supervisión dinámica del comportamiento del kernel que detecta y registra

los intentos de modificar el kernel de un sistema afectado, y el análisis directo del sistema de

archivos que facilita la identificación y eliminación de controladores ocultos.

Por último, si se determina que un sistema ha sufrido un ataque, se aconseja usar una

herramienta adicional que permita inicializar el sistema a un entorno válido conocido o de

confianza para que puedan aplicarse las medidas de corrección adecuadas. En este caso,

puede resultar útil la herramienta Sistema independiente de limpieza de Microsoft (parte del

conjunto de herramientas de diagnóstico y recuperación de Microsoft (DaRT)) o Windows

Defender Offline. Arrancar el sistema afectado con un sistema operativo válido conocido que

no esté afectado permitirá a las tecnologías antivirus y a otras herramientas identificar los

componentes de malware que, de no ser así, permanecerían ocultos gracias al rootkit. Esta

técnica puede ser una herramienta eficaz para ayudar a defenderse y recuperarse de un ataque

en el que se han empleado rootkits.

13

Orientación general: defensa

contra software malintencionado

y potencialmente no deseado

La protección eficaz de los usuarios frente al malware requiere un esfuerzo activo de

organizaciones y particulares por mantener actualizadas las defensas antimalware y estar al

tanto de los últimos avances en técnicas de propagación de malware, incluida la ingeniería

social.

Para obtener una mayor orientación, consulte los recursos siguientes en la sección “Mitigating

Risk” del sitio web del Security Intelligence Report:

Promoting Safe Browsing

http://www.microsoft.com/security/sir/strategy/default.aspx#!section_2_3

Protecting Your People

http://www.microsoft.com/security/sir/strategy/default.aspx#!section_4

14

Información adicional

Los siguientes recursos proporcionan una introducción excelente para obtener más

información sobre los rootkits y cómo los autores de malware usan la funcionalidad de

rootkit:

Blunden. B., (2009) The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the

System. Jones & Bartlett

Hoglund, G. and Butler, J. (2006) Rootkits – Subverting the Windows Kernel. Upper Saddle

River: Addison-Wesley

Kasslin, K. et al, (2005) Hide ‘n seek revisited – Full stealth is back. Virus Bulletin

Conference, octubre de 2005

15

One Microsoft Way

Redmond, WA 98052-6399

microsoft.com/mmpc