• Tweet

Microsoft está indicando a sus usuarios de Windows que ellos tendrán que reinstalar el sistema operativo si han sido infectados con una nueva rootkit que se oculta en el sector boot del equipo.

Una nueva variante del popular troyano para Microsoft llamado “Popureb” ataca tan profundamente al sistema que la única forma de eliminarlo es regresar a Windows a su configuración de fábrica, dijo la semana  Chun Feng, un ingeniero del Centro de Protección contra Malware de Microsoft (MMPC por sus siglas en inglés), en el blog del grupo.

“Si tu sistema se infecta con el troyano:Win32/Popureb.E, te recomendamos arreglar el Master Boot Record (MBR) y luego usar un disco de recuperación para restaurar tu sistema a un estado anterior a la infección”, dijo Feng.

Un disco de recuperación regresa a Windows a su configuración de fábrica. El malware, como Popureb, sobreescribe el MBR del equipo, el cual es el primer sector del disco duro, en donde se almacena el código de arranque, conocido como bootstrap, el cual sirve para iniciar el sistema operativo una vez que el BIOS termina sus verificaciones de inicio. Como el malware se esconde en la MBR, no puede ser detectado por el sistema operativo ni por software de seguridad.

De acuerdo a Feng, Popureb detecta las operaciones de escritura que ocurren en el MBR, diseñadas para limpiar en el MBR, o en otros sectores, el código del malware y luego modifica la operación de escritura por una operación de lectura. A pesar de que la operación aparentemente se realiza correctamente, los datos no se escriben en el disco, es decir, el proceso de limpieza nunca se lleva a cabo.

Feng provee instrucciones para arreglar la MBR para XP, Vista y Windows 7. Los rootkits frecuentemente son instalados por los atacantes para ocultar actividad y archivos maliciosos, como troyanos para robar contraseñas bancarias. No son un fenómeno nuevo en Windows.

A inicios de 2010, por ejemplo, Microsoft luchó contra un rootkit llamado “Alureon”, que afectó a equipos con Windows XP y causó estragos en las máquinas después de que se instalaba una actualización de seguridad de Microsoft.

En ese entonces, la advertencia de Microsoft era similar a la que Feng ahora hace para Popureb: “Si los clientes no pueden confirmar que el rootkit Alureon ha sido eliminado, utilizando su software antivirus/anti-malware, recomendamos que el dueño haga un respaldo de los archivos importantes y restaure el sistema operativo a partir de un disco con un formato limpio”, dijo Mike Reavey, director del Centro de Protección contra Malware de Microsoft (MMPC), en febrero de 2010.

Desde entonces, Microsoft ha agregado una verificación para el rootkit Aluereon a todas sus actualizaciones de seguridad para que éstas no sean instaladas si el rootkit es detectado.