Detectan varios troyanos que utilizan una nueva forma de ataques con rootkits

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha detectado la aparición de troyanos que incluyen rootkits (MBRtool.A, MBRtool.B, MBRtool.C, etc.) diseñados para suplantar el master boot record (MBR), el primer sector o sector cero del disco duro, por uno propio. Esto supone una auténtica novedad en la utilización de rootkits, ya que hacen aún más difícil la detección de los códigos maliciosos a los que van asociados.

"Este sistema de ataque hace que sea prácticamente imposible detectar el rootkit y los códigos maliciosos a los que oculta una vez que se han instalado en el equipo, utilizando soluciones de seguridad tradicionales", afirma Luis Corrons, Director Técnico de PandaLabs, que añade: "la única defensa sería detectar la presencia de estos rootkits antes de que entren en el ordenador. Además, y en previsión de códigos maliciosos desconocidos similares que puedan aparecer, es necesario utilizar tecnologías proactivas capaces de detectar amenazas sin necesidad de conocerlas con anterioridad".

El propósito de los rootkits en el campo de la ciber-delincuencia es ocultar la acción de los ejemplares de malware, dificultando así su detección. Hasta ahora, los rootkits se instalaban dentro de algún proceso del sistema, pero los nuevos ejemplares que PandaLabs ha localizado se instalan en una parte del disco duro que se activa antes que el propio sistema operativo.

Cuando uno de estos nuevos rootkits es ejecutado en un sistema, realiza una copia del MBR existente, al tiempo que modifica el original con instrucciones maliciosas. Con ello consigue que si se intenta acceder al MBR, en lugar de al falso, el rootkit lo redirigirá al verdadero, evitando que el usuario o las aplicaciones vean algo sospechoso.

Debido a estas modificaciones, cuando el usuario encienda el ordenador, se cargará el MBR modificado, antes de cargar el sistema operativo. En ese momento, el rootkit ejecutará el resto de su código con lo que conseguirá quedar totalmente oculto tanto él como los códigos maliciosos asociados al mismo.

Hasta ahora, los rootkits enmascaraban extensiones o procesos, pero estos nuevos ejemplares pueden engañar directamente al sistema. Su emplazamiento provoca que el usuario no observe ninguna anomalía en ningún proceso del sistema, puesto que el rootkit cargado en memoria estará vigilando todos los accesos al disco, para hacer invisible al sistema cualquier tipo de malware al que vaya sido asociado.

Los usuarios deben extremar las precauciones ante este nuevo tipo de amenaza. Por ello, es conveniente que no ejecuten ningún archivo de procedencia desconocida que les llegue por correo electrónico, mensajería instantánea u otros medios.

Para eliminar el código malicioso, el usuario que ya haya sido infectado deberá arrancar el ordenador con un CD de arranque para así no ejecutar el MBR. A continuación, deberá restaurar éste con utilidades como fixmbr de la consola de recuperación de Windows, cuando la infección se produce con este sistema operativo instalado.

"Estos rootkits también podrían utilizarse para afectar a otras plataformas como Linux, ya que se ejecutan antes que el MBR, por lo que su acción es independiente del sistema operativo que tenga instalado el usuario", concluye Luis Corrons.

Fuente

fuerte troyano..

gracias por la noticia

Vaya leí la noticia, y me dio escalofríos , es cómo la legendaria pesadilla indestructible Virut, pero que manipula tu PC a la conveniencia del titiritero (que sería el hacker), pero que es imposible de detectar si ya esta escondido en la PC, espero no encontrarme nunca con este super troyano, ojala que al menos descubran una forma de eliminarlo una vez ya instalado, porque si los hackers descubrieron cómo ponerlo en el MBR, tal vez haya una forma de sacarlo de ahí, da mucha rabia que pareciera que Mocosoft, pone estas vulnerabilidades tan claras a propósito en sus Windows, que seguro que los hackers cuando descubren las mismas, se echan una fiesta y se ríen de Bill$ Gates$, que por cierto parece que se decepciono tanto de sus resultados con el Win Vista, que se retiro de Microsoft.

Un saludo, gracias por al noticia, y a evitar este fuerte malware.

Vaya axl, me tengo que disculpar por mi pequeño error , todos nos equivocamos, pero en realidad, Windows también demuestra de que es un sistema muy inseguro, ya que el 90% de los virus van directo hacia él, y también tiene muchas características "maravillosas", que permiten que el malware se instale fácilmente, y pueda hacer de las suyas, eso si siempre que tengas un buen AV, y un buen soporte cómo el que ofrece Info spyware estarás seguro, aunque a veces hasta el más experto eliminando malware, se le va de las manos malwares cómo Virut (ahora comparte el trono del malware más poderoso junto con este troyano), y también me parece que este malware realmente va enfocado a Windows cómo todos los demás, hay muy pocos hackers que se interesan en Linux, y los que lo hacen, es por curiosidad, ya que muchas veces los que usan Linux no son las víctimas predilectas del hacker (empresarios, gente que compra a través de Internet, etc.), aunque eso si hay algunas compañías que usan Linux, pero aún así calculo que eso es nada más el 10%, ya que todo el mundo le metieron Windows (incluyéndome), en el cerebro desde que vieron por primera vez una PC, y muy pocos conocen Linux, aunque gracias al esfuerzo de muchos, ahora esta creciendo gradualmente con S.O cómo Ubuntu, que ganan cada vez más adeptos.

Un saludo, pido disculpas por mi error, aunque en realidad tiene algo de lógica lo que dije.

saludos a todos los miebros de este foro y pues mas que nada los mismos programadores de microsoft que "segun" trabajan para la seguridad de windows son los mismos que generan estros problemas, por eso la compra de licencias de antivirus, spyware, antispam, etc., con la patente de microsoft, mas que nada es un negocio esto, pero si se dan cuenta el 90% de los ataques de los virus son a windows, y muy raro son los ataques a equipos con linux, solares, redhat, incluso la mac no sufre de tantos ataques de esta naturaleza ( a menos que alguien me diga lo contrario) por eso se da mas promocion a los sistemas libres.

Hace unos días la BBC escribía esto:

--------------

Advertencia sobre virus furtivo de Windows

Los expertos en seguridad están advirtiendo acerca de un virus de Windows furtivo que roba datos de acceso a cuentas bancarias en línea.

En el último mes, el programa malicioso ha asolado hasta cerca de 5000 víctimas - la mayoría de los cuales están en Europa.

Muchos son víctimas de trampas explosivas a través de los sitios web que utilizan vulnerabilidades en el navegador de Microsoft para instalar el código de ataque.

Los expertos dicen que el virus es peligroso porque se entierra a sí mismo en Windows para evitar la detección.


El programa malicioso es un tipo de virus conocido como rootkit y que intenta sobrescribir parte de un disco duro del ordenador llamado Master Boot Record (MBR).

Aquí es donde se ve un ordenador cuando esté encendido, para obtener información sobre el sistema operativo que va a correr.

"Si se puede controlar el MBR, es posible controlar el sistema operativo y, por tanto, la computadora que se encuentra en", escribió Elia Florio en el blog de la empresa de seguridad Symantec .


Una vez instalado el virus, apodado Mebroot por Symantec, por lo general descarga otros programas maliciosos (malwares), como keyloggers, para hacer el trabajo de robar información confidencial.

La mayoría de estos programas de "asociados" quedan a la espera en una máquina hasta que su propietario accede a los sistemas de banca online de uno de más de 900 instituciones financieras.

El ruso-virus escrito grupo detrás Mebroot se cree que han creado la familia de virus que se sabe que se han instalado en más de 200000 los sistemas. Este grupo se especializa en el robo de banco de información de acceso.

Empresa de seguridad iDefense dice que Mebroot fue descubierta en octubre, pero comenzó a ser utilizado en una serie de ataques a comienzos de diciembre.

Entre el 12 de diciembre y 7 de enero, iDefense detectado más de 5000 máquinas que se habían infectado con el programa.

Análisis de Mebroot han demostrado que utiliza su posición oculta en el MBR como un punto para que pueda volver a instalar estos programas asociados si se suprimen por el software anti-virus.

Aunque el robo de la contraseña de Mebroot instala programas que se pueden encontrar por el software de seguridad, son pocos los antivirus comerciales paquetes actualmente detectar su presencia. Mebroot no se puede eliminar de un ordenador mientras se está ejecutando.

Independiente empresa de seguridad GMER ha producido una utilidad que se detectan y eliminan el programa furtivo.

Ordenadores con Windows XP, Windows Vista, Windows Server 2003 y Windows 2000 que no están completamente parcheado todos son vulnerables a este tipo de malware.

Muchas gracias por la información Piedra.

Vaya al menos, ya hay una solución a este malware, y ya no es una pesadilla indestructible cómo el Virut (aunque este ya tiene una variante que ya se puede eliminar), eso si, no sería nada bueno infectarse con ese troyano, ya que sería cómo sacar una roca de 1 tonelada del camino, es decir, no debe ser nada fácil de eliminar, y lo que dice Piedra es muy cierto, es totalmente imprescindible tener parcheado con las actualizaciones de seguridad, nuestros Windows, para así hacer que los malwares tengan menos posibilidades de instalarse en el sistema, o de dañarlo más, aunque aún así Windows por excelencia es el sistema más apalizado por los malwares (y más porque a cada rato se descubre un fallo de seguridad, y los Hackers, o emjor dicho crackers aprovechan esto para hacer de las suñas), mientras que Linux es mucho más seguro, aunque no se porque estoy hablando de esto porque yo uso Win XP , pero bueno, en Internet hay democracia y uno puede dar sus opiniones, y estoy seguro que Mocosft, no me bloqueara el sistema nada más por decir verdades.

Un saludo.

Hace algunos meses se hablaba sobre este malware que podía infectar el sector de inicio de los discos duros, este utilizaba técnicas de rootkits para ocultarse y controlar el núcleo de Windows desde el comienzo.

Luego de conocido este nuevo malware y que fuera noticia en varios medios creando preocupación por los daños que podía causar, los fabricantes de antivirus crearon o actualizaron sus firmas de virus para detectar esta amenaza.

También se discutió si era real o posible la infección por este tipo de virus debido a la protección que Windows XP y Vista tienen en el registro maestro de arranque (MBR).

Cuando se creía que el problema había pasado a un segundo plano debido a que todos los antivirus reconocían este malware, fueron descubiertas nuevas mutaciones del MBR rootkit las cuales utilizan un camuflaje mas elaborado e inteligente para ocultarse.

Las primeras variantes solo modificaron algunas funciones en el archivo disk.sys con el fin de ocultar el contenido real de la MBR.

Nuevamente los fabricantes de antivirus y el autor de GMER anti-rootkit (quien descubrió la primera versión del MBR rootkit) consiguieron evadir estos cambios leyendo el contenido directamente de la dirección original, estos datos podían extraerse de la función del sistema ClassPnpReadWrite que se encuentra en el controlador Classpnp.sys, de esta forma se logro detectar esta nueva versión.

Hoy fue descubierta una nueva mutación del malware, la cual manipula valores del controlador Classpnp.sys para que las rutinas de detección lean una dirección equivocada de la MBR. De esa forma evita que algunos antivirus y antirootkits puedan detectar su presencia.

También lleva a cabo un monitoreo constante de la MBR, si esta es modificada o el virus es eliminado mientras este ejecutándose, el mismo vuelve a reinstalarse.

Empresas de seguridad informática han cambiado sus mecanismos de detección con el fin de reconocer y eliminar las nuevas variantes.

Se cree que otras modificaciones podrían surgir en cualquier momento incrementando así la posibilidad de riesgo en los equipos que no se encuentren debidamente protegidos.

Para evitar ser infectado se debe mantener el antivirus actualizado y al día con la última firma de virus que se encuentre disponible.

No descargar y ejecutar archivos sin antes ser revisados o simplemente eliminarlos si se sospecha de ellos, evitar visitar sitios de dudoso contenido y no seguir enlaces en correos electrónicos también puede ayudar a prevenir una infección no deseada.


Visto en: Enciclopedia Virus