Ciberdelincuentes han iniciado una lucha territorial tendiente a controlar PCs infectados con rootkits.
Los rootkits son malware avanzado, diseñado con funciones que le permiten operar sin ser detectado por software antivirus. Cuando asumen el control del PC realizan actividades controladas a distancia por los ciberdelincuentes, como por ejemplo fraude de clics o distribución de spam.
Según la empresa de seguridad informática Webroot, un desarrollador ruso de una de las variantes más potentes del rootkit TDL decidió incrementar sus ingresos vendiendo el código fuente de su software maligno en foros clandestinos de ciberdelincuentes.
Sin embargo, después de realizada la venta, uno de los compradores del código ha hecho ajustes al código, creando una nueva variante del rootkit, denominada ZeroAccess, que aparte de realizar sus propias actividades delictivas procede a detectar y desinstalar el “rootkit madre» TDL.
Jacques Erasmus, de Webroot, declaró a The Register que «El autor original del rootkit TDL3 hizo dos versiones de TDL3. Mantuvo la segunda versión del código de rootkit para sí mismo y vende la primera versión a los responsables de ZeroAccess».
Después de haber adquirido el código, los compradores instalaron un módulo denominado z00clicker mediante el cual se utilizó las máquinas infectadas durante 12 meses. Asimismo, crearon una función que desinstala la versión original de los PC infectados.
ZeroAccess se está propagando rápidamente a través de sitios de piratería. El código maligno es difícil de erradicar ya que elude el software de seguridad, como queda demostrado en un vídeo publicado en YouTube por Webroot.