• Tweet

No hay duda, 2011 ha sido un año muy productivo para los creadores de malware. Siguiendo los pasos del rootkit TDSS/TDL4, que ha sido promocionado como “indestructible”, la familia ZeroAccess ha dado un gran salto con el fin de desmantelar las soluciones instaladas en el equipo infectado.

ZeroAccess, o Sirefef, es una pieza de malware que reemplaza algunos archivos críticos que son parte del sistema operativo y algunos propios de la estructura del kernel para hacerlo invisible tanto al sistema operativo como al software de seguridad.

Se han visto muestras de ZeroAccess disfrazadas de cracks o generadores de llaves para un gran número de aplicaciones, desde Microsoft Office 2010 hasta descargadores de pornografía o juegos. Una vez que el usuario descarga y ejecuta el crack o parche infectado dentro de una aplicación comercial pirata, el ejecutable instala silenciosamente el rootkit ZeroAccess sobrescribiendo en una unidad aleatoriamente. La aplicación guarda su información en %SYSTEMROOT%\system32\config\ bajo un nombre aleatorio.

Una vez que sobrescribió la unidad legítima, Rootkit.Sirefef se ejecutará en cada inicio del sistema en vez de la unidad genuina. Para una mejor protección de sí mismo, también infecta un archivo aleatorio ejecutable localizado en la carpeta system32, el cual vuelve a infectar al sistema, en caso de que el rootkit se inactive.

No se va hacer énfasis sobre el funcionamiento interno del Rootkit.Sirefef, basta decir que esta pieza de malware crea un archivo ejecutable inofensivo, el cual actúa como cable de tracción; cada vez que es escaneado con alguna solución de seguridad, el rootkit trata de eliminar el antivirus. Algunos productos antivirus son incapaces de proteger sus propios procesos contra la rutina de eliminación y se desactivan, por lo que el sistema se vuelve vulnerable a otros ataques.

Los usuarios que han sido infectados por esta familia de malware pueden desinfectar sus equipos siguiendo estos tres simples pasos.

1. Descargar el Rootkit.Sirefef free removal tool (el rootkit no funciona con sistemas operativos de 64bits)
2. Ejecutar la herramienta
3. Reiniciar el equipo para completar la desinfección.

La herramienta Rootkit.Sirefef es proporcionada como cortesía de los investigadores de malware de Bitdefender, Balazs Biro y Mihail Andonic.