14 jul. 2008

Rootkits en el sector de arranque


Al encender el ordenador comienza la carrera entre el malware y el software de seguridad. Cuanto antes consiga tomar el control sobre el sistema tanto mejor puede proteger un software de seguridad o, al contrario, tanto mejor puede escapar el malware a las funciones de protección.

Una vieja táctica recalentada

Con Backdoor.Win32.Sinowal ha aparecido a primeros de enero un programa maligno "in-thewild" que sobrescribe el MBR para anclar a continuación funciones de camuflaje en el kernel de Windows XP. Esta nueva tecnología de camuflaje se utiliza para ocultar las funciones de robo para banca online. En el primer semestre de 2008 aparecieron 97 variantes de este programa
malicioso. Pero la confinación de código malicioso en el sector de arranque es un módulo autónomo e independiente de la función dañina. Podría integrarse muy pronto en otro malware.
El malware tiene en este caso una partida sencilla, ya que bajo XP los usuarios estándar pueden sobrescribir el MBR. Con Vista es algo más difícil. Pero también existen mecanismos de protección: A menudo, la BIOS ofrece la posibilidad de dotar al MBR de una protección frente a escritura. Posiblemente, ahora es un buen momento para hacerlo. Los virus del sector de arranque de la edad antigua se descubrían arrancando el ordenador desde un disquete limpio.

El CD de arranque de las soluciones de protección antivirus de G DATA puede reconocer de modo fiable los rootkits del MBR.
Según estimaciones de G DATA Security Labs, es sólo cuestión de tiempo que otros programas dañinos utilicen esta tecnología para camuflarse.

No hay comentarios: