Detección de tcpip.sys como amenaza

Desde hace unos días, concretamente desde la actualización de la base de firmas de virus 4293 de día 31 de Julio de 2009, venimos recibiendo consultas de algunos usuarios acerca de la detección por parte de ESET NOD32 del fichero tcpip.sys como una amenaza de nombre Win32/Patched.XX. Este fichero no supondría ninguna amenaza en un sistema operativo Windows original, sin embargo, la variante detectada ha sido modificada e incluida en algunas distribuciones ilegales del sistema de Microsoft (Unattended Edition, Black Edition, Wolf, etc.).

En esta ocasión, la detección de este fichero por parte del antivirus es totalmente correcta, ya que el fichero original ha sido modificado para permitir mas conexiones de las recomendadas y expone al usuario a un riesgo importante. Al usar un sistema operativo modificado que no ha sido verificado por el fabricante para asegurar la máxima integración y compatibilidad entre todos los elementos que lo componen, se rompe un principio básico de la seguridad, ya que tampoco sabremos que otras “aplicaciones” habrán sido incluidas (rootkits, troyanos, keyloggers, etc.).

Este riesgo se aplica también a aquellos programas que los usuarios descargan de sitios ajenos al fabricante o corresponden a versiones crackeadas para poder usar el programa sin abonar su coste. Resulta especialmente curioso el caso de los falsos antivirus que prometen seguridad a aquellos usuarios que los usan cuando realmente están infectando su sistema, o los antivirus de marcas reconocidas que han sido modificados para ser usados sin abonar el coste de la licencia que no tienen todas las funciones de la versión original.

Ante estas amenazas lo mejor es descargar y usar los programas proporcionados directamente del fabricante para evitar sorpresas indeseables.

Josep Albors