LOS ROOTKITS Y LAS PARTICIONES:

Un rootkit es un programa que está oculto o enmascarado en el sistema, y puede acceder a partes de éste de un modo privilegiado de modo que es difícil de detectar y más difícil aún de eliminar mientras está en ejecución. Para más información http://es.wikipedia.org/wiki/Rootkit

Hasta este momento nada he dicho sobre su naturaleza o sobre su comportamiento. Este recurso puede ser empleado para bien y para mal.

Por ejemplo, lo ideal es que un programa antivirus permanente funcione como un rootkit benigno:

• oculto, que no se pueda detectar, o sea, que los programas virus no puedan detectarlo
• enmascarado en el sistema, o sea, que el sistema siga funcionando y que el antivirus aparentemente sea como cualquier otro programa residente y activo del sistema
• que pueda acceder a partes del sistema de modo privilegiado, es decir, que se ejecute con más privilegios que cualquier programa virus, para que pueda imponerse a éstos, pararlos, borrarlos de memoria, borrarlos de disco duro, sin tener que pedir constantemente permisos para hacer estas tareas privilegiadas.
• que sea muy difícil de eliminar, para que los programas virus no puedan borrarlo de disco duro, parar su ejecución o borrarlo de la memoria.

En general, no obstante, se asocia un rootkit con un comportamiento maligno.

Para conseguir estar activo y en ejecución, un rootkit debe formar parte del sistema operativo como si se tratara de un servicio o módulo en ejecución del núcleo del sistema. Y claro, ésto solo se consigue arrancándose y poniéndose en ejecución con el propio sistema, es decir, arrancando con el nucleo del sistema. El núcleo es la primera parte que se carga en memoria cuando una partición formateada y activa toma el control del arranque de la máquina. Lo primero que se carga son los drivers o controladores de dispositivos, en particular el driver del disco duro. Si enmedio de alguno de esos códigos estuviera un trozo de código rootkit (infectado e insertado por algún medio vírico, troyano, gusano, etc...) este código permanecería activo y en ejecución todo el tiempo que la máquina estuviera encendida. Porque el driver del disco duro siempre está usándose. Si mientras que está activo se le intentara detectar o eliminar mediante otro programa, pongamos un antivirus, este propio antivirus tendría que usar el driver del disco duro para borrar el rootkit, pero el código del rootkit está enmedio del código del driver del disco duro, así que podría enmascararse para ser detectado, o aparentar su borrado. En efecto, el antivirus trata de ver el mundo con unas gafas pero las gafas le dejan ver todo menos lo importante: las propias gafas.

Para eliminar un rootkit hay que hacerlo mientras el rootkit está inactivo. El modo más práctico de que no esté activo es que el sistema operativo en el que se enmascara no lo esté. O sea, no se arrancará la máquina con el sistema operativo que se desea desinfectar. Este proceso de desinfección puede ser muy complicado, quizá hasta imposible, por lo que para los casos de las máquinas personales o domésticas lo más práctico es hacer una copia de seguridad de los datos, formatear e instalar de nuevo todo.

Para hacer la copia de seguridad de los datos habrá que arrancar el sistema con otro sistema operativo distinto. Esto se puede hacer cambiando la partición activa a otra partición de arranque (de ahí que sea positivo y recomendable que un equipo tenga al menos dos sistemas operativos distintos). También se puede arrancar con un CD o DVD de utilidades que nos permita acceder a la partición infectada. Una buena opción es cualquier CD Live de Linux: Ubuntu tiene varias aplicaciones especializadas en tareas forenses, y varias distribuciones especializadas como http://ubuntu-rescue-remix.org/, http://partedmagic.com/doku.php y http://grml.org/features/.

Una vez realizada la copia de los datos, para formatear e instalar de nuevo todo nos bastará con arrancar el equipo con el CD de instalación del sistema operativo, por ejemplo el CD de instalación de Windows. Este CD tiene todo lo necesario para borrar completamente lo que haya en la partición infectada y reinstalar limpiamente el sistema en dicha partición.

El CD de instalación de Windows tiene dos modos de ejecución: INSTALAR y REPARAR. Ninguno de ellos reescribe el MBR por lo que si el rootkit está allí no lo destruirá. La instalación te permite entrar a un menú donde puedes borrar la partición infectada. Se debería borrar la partición, guardar los cambios, reiniciar el equipo, volver al menu INSTALAR y crear de nuevo la partición. Este proceso asegura que el instalador va a crear toda la estructura lógica necesaria y no dará por asumido que se desea conservar algo, ya que no encontrará nada. La reparación te lleva a la Consola de Recuperación. En determinados casos puede que sirva para acabar con el rootkit sin necesidad de reinstalarlo todo, pero serán casos muy puntuales y que necesitarán previamente una larga y complicada tarea de investigación sobre el rootkit, que solo tendrá sentido para los casos de equipos servidores o de uso profesional.

¿En que casos, es mejor formatear desde dentro o desde fuera del equipo? No es relevante. Da igual si arrancamos el equipo desde otra partición del mismo disco duro o desde un disco optico o desde un disco USB o un pendrive. Lo importante es que el sistema infectado esté apagado y que usemos otro sistema para arrancar.