Los bootkits son programas maliciosos que tienen la capacidad de infectar el sector de inicio del disco duro (MBR) para ejecutarse antes de que el sistema operativo y todos sus programas, incluyendo a los antivirus, se carguen. Esta característica les permite comprometer la máquina de forma muy eficaz y ser más difíciles de detectar.
El siguiente esquema muestra de forma resumida lo que sucede cuando prendemos la computadora:
Lo primero en cargar es la BIOS, un programa que se encuentra almacenado en la placa base de la máquina. Luego se ejecuta el código del primer sector del disco duro (MBR) que es el encargado de buscar un sistema operativo para iniciar, es ahí donde los bootkits se instalan modificando el MBR original y comprometiendo todo lo que sucede después.
Programas para analizar el MBR:
Existen muchas herramientas que permiten analizar rápidamente el MBR en busca de bootkits conocidos, las siguientes son algunas de ellas. Ten en cuenta que la eliminación de esta clase de malwares puede generar algún problema con el inicio del sistema (tal vez necesites recuperar el MBR), así que antes de eliminar cualquier archivo detectado tómalo con calma :)
Bootkit Removal Tool de Bitdefender, es compatible con equipos Windows de 32 y 64 bits, simplemente debes descargarla y ejecutarla para analizar el MBR:
Descarga: Bootkit Removal Tool 32 bits | para 64 bits
RootkitBuster de Trend Micro es otro programa parecido, sólo funciona en Windows de 32 bits, permite analizar el MBR y todo el equipo en busca de rootkits (es un escaneo más completo). Cabe mencionar que los bootkits son un tipo de rootkit, la diferencia como el nombre lo indica es que infectan el sector de arranque (boot):
Si realizas un análisis completo ten cuidado con los falsos positivos, es posible que la herramienta detecte «problemas» en archivos personales que en realidad no están infectados, presta atención antes de eliminarlos.
Descarga: RootkitBuster
TDSSKiller de Kaspersky, compatible con 32 y 64 bits, detecta varios bootkits conocidos incluyendo a los de la familia TDL que en 2011 infectaron a millones de equipos:
Descarga: TDSSKiller
Todas estas herramientas se ejecutan desde el propio Windows, pero también existen otras que se pueden ejecutar directamente desde un CD o pendrive para realizar un análisis «desde afuera» y sin que ningún malware pueda hacer de las suyas para ocultarse.
Dos que me parecen muy buenas y completas son Kaspersky Rescue Disk y Panda SafeCD, ambas permiten analizar los sectores de arranque y todos los archivos del equipo en busca de malwares.
Espero que la información resulte útil y como siempre en caso de necesitar ayuda o tener dudas con el uso de los programas puedes dejar un comentario o pasar por el Foro.
Ver también:
Rootkit en la tarjeta de red.