• Tweet

Symantec negó el jueves la afirmación de investigadores que dicen que su software usa un rootkit para esconder archivos de sus usuarios.

El problema viene de hace mucho tiempo en Symantec Norton System Work, al esconder un directorio en especial. La característica de System Works, la cual viene de su predecesor Norton Utilities, es el aislamiento de Norton Protected Recycle Bin y proporciona una forma para que los usuarios recuperen sus archivos enviados dentro de la Papelera de Reciclaje.

Investigadores de F-Secure así como Mark Russinovich de Sysinternals descubrieron que el directorio oculto de NProtect podría ser un buen lugar para esconder malware.

Symantec admitió esto en un aviso de seguridad publicado en su sitio Web esta semana. “Los archivos en el directorio pueden no ser analizados durante un análisis manual o programado de búsqueda de virus,” dice la alerta. “Esto podría potencialmente proporcionar una locación para que un intruso esconda archivos maliciosos en un equipo.”

La compañía de seguridad, de The Cupertino, California, lanzó una corrección para sus clientes ese mismo día vía el servicio LiveUpdate para System Works 2005 y 2006. La actualización muestra el directorio de NProtect ha Windows.

“El directorio estaba escondido debido a que cuando la característica fue creada se aseguraba que los archivos ocultos no confundiera a los usuarios,” dijo Vincent Weafer, Director de Seguridad del grupo de respuesta de Symantec. El miedo en ese entonces, agregó, fue que los usuarios pudieran eliminar accidentalmente los archivos protegidos si estos se encontraban con los archivos mediante el Explorador de Windows.

“Esto fue diseñado en una era diferente,” dijo Weafer. “Con el incremento de las amenazas se recurrió a la cautela, decidimos que esto era un gran peligro por lo que decidimos descubrir este.”

De lo que realmente se queja Symantec, no fue del cambio necesario a System Works, pero si de la etiqueta de rootkit, dada por Russinovich, lo cual fue una bofetada que se le dio a su técnica de esconder el directorio NProtect.

“Este es un directorio oculto, no un rootkit” dijo Weafer. “Mark tiene una muy amplia definición de rootkit. Este no es un rootkit. Los rootkits carecen completamente de una notificación cuando son instalados, estos no pueden ser desinstalados, mientras que esta característica puede ser desinstalada en cualquier momento, y estos esconde un amplio contenido. Este solo esconde un directorio.”

F-Secure, el cual originalmente ventilo el asunto con Symantec, aparentemente esta de acuerdo….con el punto.

“Queremos ser claros en esto: lo que Symantec estaba haciendo no es tan malo como lo que Sony hizo con su rootkit,” escribió Mikko Hypponen, director de investigaciones del anti-virus, en el blog de la compañía. La herramienta de detección de rootkits BlackLight aviso de la práctica de Symantec en marzo pasado.

En su siguiente comentario, sin embargo, Hypponen comparo las técnicas de Symantec y Sony. “La principal diferencia entre el rootkit de Symantec y de Sony no es técnico” escribió. “El rootkit de Symantec es algo documentado, de una característica útil; esta puede ser encendida o apagada y podría ser desinstalada fácilmente por el usuario. Diferente al rootkit de Sony.”

La confusión sobre el tema del rootkit, agrego Weafer, ha conducido a Symantec a iniciar pláticas con otras compañías y grupos de seguridad, incluyendo el CERT y IT-ISAC para crear una definición universal de rootkit.

“Esto es similar a lo que paso el año pasado con spyware,” dijo Weafer. “Desde entonces, los vendedores han estado haciendo un buen trabajo de neutralizar los argumentos acerca de si es o no un spyware.”

No obstante, Weafer dijo estar de acuerdo con Russinovich de que dado el incremento cauteloso del malware, hay pocas razones actualmente para esconder directorios. “Nos tenemos que preguntar a nosotros mismos, ‘¿Realmente queremos usar esto-’” dijo Weafer.

Russinovich no realizó comentarios inmediatamente, pero prometió sin embargo actualizar su blog después del jueves para incluir sus investigaciones en el ocultamiento de directorio de Symantec, y posiblemente otro desarrollos comerciales también.