ESET Latinoamérica – Laboratorio
« Troyano en MySpace simula ser una actualización de Microsoft
Des-ofuscando código JavaScript »

Rootkit en el sector de arranque ¿otra vez?

Enero 14, 2008 10:43 am

En los últimos días hemos tenido consultas sobre esta noticia que ha sido publicada en varios medios comenzado por su fuente original Gmer, por lo que a continuación comentamos algo al respecto.

Como se sabe, la Master Boot Record (MBR para los amigos) es el primer sector del disco y por ello es utilizado como sector de arranque del mismo. En la conferencia Black Hat de 2005 un par de investigadores presentaron una tecnología que denominaron BootRootKit y que puede ser utilizada para modificar la secuencia de arranque de Windows.

En ese momento, se publicó el código ensamblador de este programa y a fines del 2007 se comenzó a encontrar diversos tipos de malware que hacen uso de esta tecnología para infectar el sector de inicio del disco y así lograr pasar desapercibido para el sistema operativo y algunas herramientas de seguridad, debido a que no realiza ninguna modificación que involucren al sistema operativo (archivos, registro, dato, etc.).

Otra complejidad extra de este tipo de malware radica en que al almacenarse directamente en los sectores del disco, el mismo no puede ser eliminado convencionalmente por lo que deberemos volver al “antiguo” FDISK /MBR (o fixmbr) o instalar ESET NOD32 que detecta este RootKit desde octubre pasado como Sinowal o Mebroot.

¿Quién dijo que vivir la época de los virus para DOS no era de utilidad?

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



Categorias: Educación, Malware
4 Comentarios »

4 Comentarios en “Rootkit en el sector de arranque ¿otra vez?”

  1. ESET Latinoamérica – Laboratorio » Blog Archive » Agresiva generación de rootkits dijo:
    25-9-2009 a las 12:16 pm

    [...] estructura y funcionamiento de los rootkits convencionales, caracterizándose particularmente por comprometer el sector de arranque del equipo cambiando su código original, una actividad que hemos conocido hace muchos años atrás [...]

  2. Viejos son los trapos « Mundo Binario dijo:
    5-5-2008 a las 9:31 pm

    [...] la misma forma, me informaba hace unos meses sobre Rootkits en el sector de arranque. ¿Cómo? ¿Los virus en el sector de arranque no habían desaparecido? Evidentemente viejos [...]

  3. Cristian Borghello dijo:
    18-1-2008 a las 9:34 am

    Esteban, esta aplicación fue desarrollada con el fin de demostrar que se puede alterar el flujo del sistema operativo y permitir ocultar estas y otras acciones que en este caso no son dañinas.
    Si quieres verlo de manera sencilla la aplicación solamente fue una Prueba de Concepto (PoC) pero los detalles que se dieron permitieron desarrollar aplicaciones dañinas (como Sinowal) posteriormente.

    Cristian

  4. Esteban dijo:
    18-1-2008 a las 1:24 am

    La herramienta eEyeBootRoot para que sirve?

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.