Agresiva generación de rootkits


A partir de la celebración de la conferencia BlackHat 2009, se dio a conocer otra alternativa para atacar los sistemas informáticos a través de códigos maliciosos del tipo rootkit. Se trata de lo que se conoce bajo el término de Bootkit.





Quizás muchos se preguntarán de qué se trata esto. Bueno, un bootkit es un tipo de rootkit que escapa de la estructura y funcionamiento de los rootkits convencionales, caracterizándose particularmente por comprometer el sector de arranque del equipo cambiando su código original, una actividad que hemos conocido hace muchos años atrás con algún que otro virus.

Teniendo en cuenta que los desarrolladores maliciosos incorporan en sus creaciones componentes de rootkit con el propósito de abusar de sus funcionalidades (esconder procesos, claves en el registro, archivos, entre otros), esta generación propone una modalidad de ataque cuyas instrucciones, más agresivas porque incluso infecta los discos cifrados con TrueCrypt, pueden ser utilizadas para intentar evadir los sistemas de detección al alojarse puntualmente en la MBR (Master Boot Records).

En este sentido, la propuesta presentada en la conferencia anual antes mencionada, se llama Stoned Bootkit. No es la primera vez que se abordan estas características ya que comúnmente son utilizadas por el malware actual, y entre los antecedentes más relevantes podemos mencionar el famoso virus Stoned (en el cual está basado esta versión), VBootkit aparecido durante el 2007 con una versión actual diseñada para ejecutarse incluso en Windows 7, y MebRoot (del que ESET ha desarrollado una herramienta para eliminarlo), también conocido como Sinowall.

En la siguiente captura se aprecia el soporte para los diferentes sistemas operativos que puede infectar esta amenaza junto a su “firma” (Your PC is now Stoned! …again!) que hace alusión a la leyenda que generaba el virus Stoned del año 1987 al momento de infectar un equipo.

Al igual que los rootkits, los bootkits no nacieron bajo la etiqueta de código malicioso sino como pruebas de concepto (PoC) destinadas a estudiar los posibles modelos de ataque que se podrían producir por debilidades en las arquitecturas de diferentes plataformas. Sin embargo, la cuestión es que generalmente las PoC’s suelen ser publicadas y es en ese momento donde comienza a producirse un problema masivo, como consecuencia de la utilización del código fuente para el desarrollo de malware.

Como verán, el problema no es trivial debido a que no puede ser solucionado de forma convencional, principalmente por el hecho de ejecutarse instancias antes del arranque del sistema operativo, y siguiendo la misma lógica, su detección tampoco es trivial.

Por lo tanto, es sumamente importante confiar la seguridad antivirus a soluciones de seguridad proactivas como las que ofrece ESET NOD32, que en este caso detecta el malware bajo el nombre de Win32/StonedBoot.A.

 

Fuente:
Por Jorge
http://blogs.eset-la.com

 

PD: Enlace opcional (Debe tener cuidado si descarga el archivo)

Stoned Bootkit Malware En El MBR de Windows Que Novedad
http://h4xxor.blogspot.com/2009/08/stoned-bootkit-malware-en-el-mbr-de.html

 



Otras noticias de interés:

Google publicó un manual de seguridad de navegadores
Google publicó el miércoles un manual para desarrolladores Web que destaca las características clave y defectos de los navegadores Web más importantes....
Boletines de seguridad de Microsoft en junio
Este martes pasado Microsoft publicó diez boletines de seguridad (del MS09-018 al MS09-027) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad cr...
Cuanto cuesta perder datos?
Qué pasa cuando se pierde el portátil, el móvil o el dispositivo USB? Cuanto cuesta perder datos? La pérdida de datos cuesta el tiempo que perdemos de vista nuestro dispositivo: segundos. Y esa perdida genera un impacto con un coste, que suele se...
Firmware 2.0 del iPhone hackeado en tiempo récord
Como era de esperarse, el nuevo firmware ha sido completamente jailbroken, descifrado y el grupo iPhoneDevTeam ya encontró la manera de engañar a los certificados incluidos para que los desarrolladores puedan correr cualquier aplicación sin ser ...
¿Es el IE 7 realmente más seguro que el IE 6?
Microsoft lanzó su largamente esperado navegador Internet Explorer 7.0 el pasado 19 de octubre. La descarga gratuita permite que los usuarios de Windows substituyan IE 6.0, que no ha tenido ninguna actualización de sus principales característic...
SERVER BUFFER OVERFLOW
El bug es muy sencillo aparentemente. y también parece que no es perjudicial para los usuarios de IE o de cualquier explorador de Windows. pero lamentablemente no es tan sencillo. Según he demostrado en mis pruebas y experimentos con él....
Linus Torvalds usa Mac con Linux
El fundador de Linux, Linus Torvalds, usa ahora una Macintosh como su principal herramienta de trabajo. ...
El MSN-Messenger ya es compatible con el Yahoo Messenger
Ya ha comenzado un periodo de pruebas en el que los usuarios de los clientes de mensajería instantánea de Microsoft y Yahoo podrán verificar si funcionan correctamente entre sí....
Microsoft libera el código de su herramienta Passport
Microsoft pondrá a disposición del dominio público parte del código fuente de Passport, para que los desarrolladores puedan crear sus propias versiones de la especificación de identificación única (single-sign-on) para uso interno o para su re...
Descubren una manera de infectar la BIOS y tarjetas de red
Durante la conferencia de seguridad Defcon se ha presentado una prueba de concepto de un malware de puerta trasera capaz de infectar la BIOS sin dejar rastro en el disco duro....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • agresiva
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • generacion
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • rootkits
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra