• Tweet

Los usuarios quizas tengan que reinstalar Windows para eliminar el malware

El pasado miércoles Microsoft confirmó que un rootkit causo que a las computadoras que tienen instalado Windows tuvieran un percance después de que los usuarios aplicaron un parche de seguridad publicado la semana pasada.

Solo los sistemas infectados con el rookit Alureon fueron incapacitados con los errores de Blue Screen of Death (MSRC) que impiden el arranque, mencionó Mike Reavey, director del Centro de Respuestas de Seguridad de Microsoft (MSRC). “Nuestras investigaciones han concluido que el reincio ocurre debido a que el sistema esta infectado con malware”, comento Reavey.

Agregó que la actualización MS10-015 no fue la causante. “No hemos encontrado problemas de calidad con la actualización MS10-015”, sostuvo Revey.

La semana pasada, el rookit – también llamado TDSS, Tidserv y TDL3 – había sido nombrado por los investigadores de seguridad como el posible responsable.

A escasas horas del lanzamiento del MS10-015 así como otras 12 actualizaciones de seguridad, los usuarios reportaron que sus computadoras no se podían reiniciar. Dos días despúes, Microsoft detuvo la distribución automática del MS10-015 y lanzó una investigación, la cual reveló que el malware pudo haber sido la causa.

Ayer Reavey escuchó a los investigadores independientes, quienes anteriormente habían culpado a un conflicto de direcciones entre MS10-015 y el rootkit. “Los creadores del malware modificaron el comportamiento de Windows al intentar acceder a una localidad específica de memoria, en lugar de dejar que el sistema operativo determinará esta dirección,” explico Reavey. “MS10-015 fue descargado e instalado,” momento en el cual se modificó el código de la dirección de Windows. En el siguiente reinicio el código de malware se ejecutó intentando llamar a una dirección específica en el código de Windows, el cual ya había modificado al sistema operativo.

MS10-015 es un parche para un error en el kernel de todas las versiones de 32 bits de Windows.

Reavey reconoció que la calidad del control del parche de Microsoft no tomaba el conflicto porque es difícil de crear pruebas de interacción de malware. “Este tipo de infecciones suelen dejar a la máquina en un estado tan inestable que no puede ser probado de forma confiable”, comentó Reavey. También confirmó que todas las versiones de 32 bits de Windows eran susceptibles a Alureon causando accidentes, incluido Windos 7, a pesar de que la mayor parte de las quejas provenían de los usuarios que tenían Windows XP.

Eso no debería ser una sorpresa: XP es el sistema operativo dominante en todo el mundo.

Aunque varias empresas de seguridad han publicado instrucciones y herramientas para los usuarios atrapados con un BSOD, Microsoft no ha emitido algún consejo para los ya afectados. La recomendación de Reavey fue brutal: "Si los clientes no pueden confirmar la eliminación del rootkit Alureon utilizando su software antivirus/antimalware, la recomendación más segura es para el propietario de la copia del sistema de archivos importantes y restaurar completamente el sistema desde un disco con formato ", dijo.

Sin embargo no explicó cómo los usuarios iban a recuperar el control de su PC que no arranca.

Kaspersky Lab ofrece una solución menos extrema: una utilidad gratuita que busca y destruye el rootkit (descargar archivo .zip para PC con Windows). Mientras que en Symantec, los usuarios por su parte, han instado a reemplazar a los drivers de rootkit infectados con copias limpias.

Microsoft proporcionará una forma para que los usuarios detecten y eliminen el rootkit Alureon desde equipos infectados, pero Reavey dijo que faltarían "un par de semanas" antes de que esté listo.

En el pasado, Microsoft ha utilizado su herramienta de eliminación de software malintencionado (MSRT), un programa gratuito que actualiza cada martes parches, para buscar y destruir los rootkits. La próxima actualización de la MSRT es el 9 de marzo.

Debido a que el rootkit sólo infecta a las máquinas que ejecutan Windows de 32-bit, Microsoft ha levantado el embargo de actualizaciones automáticas en MS10-015 para sistemas de 64-bits.