El fabricante de Malwarebytes, uno de los mejores antimalwares que podemos encontrar en el mercado, ha lanzado una nueva herramienta gratuita Anti-Rootkit que de momento se encuentra en fase de pruebas.
Los rootkits tienen la habilidad de infectar el sistema de tal manera que pueden pasar desapercibidos para los métodos de análisis habituales, permitiendo que los atacantes tengan control sobre un equipo durante mucho más tiempo.
Si bien es cierto que muchos antivirus tienen la capacidad de detectar y eliminar rootkits, en algunos casos es necesario utilizar herramientas especializadas como Malwarebytes Anti-Rootkit (MBAR).
El programa es gratuito y puedes descargarlo desde aquí, no requiere instalación y es muy fácil de usar. Una vez descargado, descomprime el contenido del archivo ZIP o simplemente arrastra la carpeta mbar al escritorio. En su interior verás lo siguiente:
El archivo mbar.exe marcado en la imagen es el encargado de lanzar la aplicación con un doble clic, en caso de que el programa no se pueda ejecutar de forma normal se puede correr desde el modo seguro o modo a prueba de errores.
Antes de realizar un análisis, conviene actualizar la base de datos (botón Update) para obtener las últimas definiciones de malware desde internet:
Luego se presiona el botón Next y se llegará a la ventana de escaneo donde simplemente deberás presionar el botón Scan.
Malwarebytes Anti-Rootkit tiene la capacidad de detectar y eliminar diversos tipos rootkits incluyendo aquellos que infectan los sectores de arranque. Algunos ejemplos de amenazas que puede eliminar son la familia TDL, MaxSS, Srizbi, Necurs, Cutwail, ZeroAccess, Rloader, Mebroot/Sinowal, MoastBoot, Yurn, Pihar, SST/Elureon, entre muchas otras.
En caso de detectar una infección el programa solicitará reiniciar el equipo, esto es un paso esencial en el proceso de eliminación. Una vez que se reinicia, conviene realizar otro escaneo para asegurarse de que el sistema quedó limpio.
Por último mencionar que en el paquete de MBAR también se incluye la herramienta FixDamage.
¿Para qué sirve? Cuando se realizan este tipo de limpiezas es posible que algunos servicios del sistema afectados por el rootkit dejen de funcionar, es aquí donde entra en juego fixdamage.exe para repararlos:
Simplemente se ejecuta y en la ventana que se abre se presiona la tecla Y (de Yes) para que realice su trabajo, finalmente hay que reiniciar la PC. Cabe mencionar que sólo se debe utilizar si luego de eliminar un rootkit se experimentan problemas como falta de conexión, firewall desactivado y cosas por el estilo.
Descarga: Malwarebytes Anti-Rootkit (MBAR)
Es importante tener en cuenta que se encuentra en estado BETA, no es un producto final y puede presentar errores. Por otro lado esta clase de programas no cumplen la función de un Antivirus residente, es decir, no protegen al equipo en tiempo real. Sólo se ejecutan una vez para realizar los análisis sin interferir con otros programas de seguridad.
Puedes encontrar más anti-rootkits en esta recopilación de Infospyware y en este artículo que escribí hace algún tiempo sobre los bootkits y el análisis del MBR.