• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    El Bootkit de 2009

    Kaspersky Lab ha presentado “Bootkit 2009” , un artículo analítico que surge de una nueva modificación del programa malicioso más peligroso del año pasado, Backdoor.Win32.Sinowal . La nueva versión del bootkit , identificado a finales ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención El Bootkit de 2009

      Kaspersky Lab ha presentado “Bootkit 2009”, un artículo analítico que surge de una nueva modificación del programa malicioso más peligroso del año pasado, Backdoor.Win32.Sinowal.

      La nueva versión del bootkit, identificado a finales de marzo de 2009, se distribuye a través de sitios comprometidos, fuentes pornográficas y sitios donde se puede descargar software pirata. Casi todos lo servidores que forman parte del proceso de infección tienen una conexión con el lenguaje ruso: trabajan dentro del Framework de supuestos programas de Partners, en cuyos sitios los propietarios trabajan con los autores de códigos maliciosos.

      El bootkit, al igual que antes, utiliza un método basado en la infección del MBR con el fin de cargar su driver antes de que el sistema operativo inicie. En comparación con variantes previas, esta versión del rootkit usa una tecnología más avanzada para esconder su presencia en el sistema. El código del controlador también ha sido modificado significativamente y la mayoría de las funciones clave, que instalan anzuelos para algunas funciones del sistema operativo, han sido metamorfoseadas. Esto complica de forma importante el proceso de análisis del código malicioso.

      El trabajo de la modificación más reciente del bookit demuestra la necesidad de mejorar las tecnologías antivirus actuales, que son capaces de combatir efectivamente no sólo los intentos de infectar ordenadores, sino de detectar complejas amenazas que trabajan a los niveles más profundos del sistema operativo.

      El artículo está disponible en www.viruslist.com/sp. Los analistas de Kaspersky Lab ya dieron detalles de una versión previa del bookit durante el año pasado en Malware Evolution: January-March 2008 y en un artículo titulado Bootkit: el desafío de 2008.

      El artículo puede ser reproducido, mencionando el autor, el nombre de la compañía y la fuente original. La reproducción de este material en artículos re-escritos requiere el consentimiento previo del departamento de comunicación de Kaspersky Lab.


      Introducción

      En 2008 Kaspersky Lab constató la aparición del programa nocivo Backdoor.Win32.Sinowal y lo calificó como extremadamente peligroso desde el punto de vista tecnológico en el articulo Los bootkits: el desafío de 2008. Se le asignó esta apreciación porque los autores del programa usaron las tecnologías de creación de virus más avanzadas del momento:

      1. La inoculación "individual" de la infección a los usuarios de sitios afectados por una gran cantidad de diferentes vulnerabilidades, incluyendo algunas de 'día cero'.

      2. El uso de avanzadas tecnologías rootkit y métodos de discos de arranque para infectar el MBR del equipo del usuario. Los métodos de infección de los sectores de inicio de los discos eran muy populares en los albores de la época de los virus informáticos, y su aparición en estos tiempos se considera un renacimiento de las antiguas tecnologías, pero en un nuevo nivel. El problema se hace más profundo porque muchos de los antivirus recientemente desarrollados no tienen la capacidad de analizar el MBR, porque se juzgaba que esta amenaza ya era obsoleta.

      3. El uso de tecnologías de migración constante de los servidores de administración e infección (cambio de sus direcciones IP y nombres de dominio). Los equipos infectados usaban un algoritmo especial de formación del nombre de dominio para facilitar la búsqueda de sus centros de administración. Más tarde se usaría una tecnología similar en los programas maliciosos de la familia Kido (Conficker).

      Un año después, estas tecnologías y métodos maliciosos se han convertido en 'clásicos' y ahora se los usa en muchos y variados programas nocivos. Pero los programadores del bootkit en cuestión no se han detenido en la tarea de crear, desarrollar y propagar sus tecnologías.

      De esta manera, actualmente el bootkit es el programa malicioso más avanzado: es invisible e indetectable para la mayoría de los programas antivirus modernos.

      A finales de marzo de 2009 los expertos de Kaspersky Lab detectaron en Internet la propagación de una nueva modificación del bootkit. En este artículo presentamos los resultados del análisis de su funcionamiento y métodos de propagación.


      Estado actual

      Al analizar el desarrollo del bootkit, podemos señalar que los cambios más significativos son:

      1. Su modo de difusión

      En este momento, el bootkit se propaga mediante sitios craqueados, de pornografía y sitios de software pirata. Casi todos los servidores que participan en el proceso de infectar al usuario, a todas luces tienen indicios de usar la lengua rusa: funcionan en el marco de los así llamados 'programas de partners', que son esquemas de interacción entre los propietarios de los sitios y los autores de los programas nocivos. Estas estructuras de 'partners' son muy populares en el espacio cibernético ruso y ucraniano.

      Entre la nuevas tecnologías que usan está el mecanismo de creación del nombre de dominio que se asigna al sitio desde donde se difundirán los exploits.

      Cuando un usuario visita una página web infectada, en su equipo empieza a ejecutarse un script que, basándose en la fecha establecida en el ordenador genera el nombre de sitio al que se remitirá al usuario para recibir su exploit 'personal'.

      [IMG]http://i43.*******.com/292o5kx.png[/IMG]
      Parte del script de generación del nombre del sitio con los exploits, después de haber sido descifrada


      Esta tecnología hace que sea prácticamente imposible utilizar el método clásico de las listas negras para bloquear el acceso a los sitios con los exploits. Sin embargo, los investigadores tienen la posibilidad de analizar el algoritmo de generación de los nombres, averiguar cuales de ellos serán usados y bloquearlos.

      El script incrustado en las páginas web infectadas, además de la generación del nombre de dominio y dependiendo de la fecha en curso, crea también un fichero de cookies válido durante 7 días. Su propósito es evitar que el navegador abra por segunda vez la página con el Neosploit en caso de que el usuario visite la página web varias veces. El script comprueba la presencia del fichero cookies y si éste está presente y su periodo de validez no ha caducado, no genera el nombre de dominio y no se remite al usuario al Neosploit.

      2. Las tecnologías de los rootkits

      Los bootkits siguen usando un método basado en la infección del MBR para ejecutar su driver durante el inicio del sistema operativo. El driver se usa para evitar la detección y el tratamiento del sector de inicio infectado. Las primeras versiones interceptaban los procedimientos IRP del objeto \Driver\Disk, pero como las tecnologías de lucha contra los programas maliciosos tampoco dejan de desarrollarse, los creadores de virus se vieron obligados a hacer grandes cambios en su algoritmo de funcionamiento. La variante actual del rootkit usa una tecnología más avanzada que la de la versión anterior para ocultar su presencia en el sistema. En este momento ninguno de los rootkits conocidos usa los métodos descritos a continuación.

      Al iniciarse el driver malicioso se constata la presencia de un depurador activo. Si está presente, el rootkit no oculta el MBR infectado y no revela de ninguna manera su presencia en el sistema.

      Para convertirse en prácticamente invisible, el rootkit reemplaza el indicador de tipo del dispositivo. Este tipo es una estructura distribuida en la cual el driver malicioso sustituye el indicador de función (ParseProcedure).

      [IMG]http://i41.*******.com/157omk2.png[/IMG]
      Instalación del interceptor de función para suplantar el MBR


      En caso de que el programa antivirus quiera obtener acceso de bajo nivel al disco físico, se hará una llamada a la función suplantada. A su vez, en esta última se interceptará el procedimiento IRP de un driver de nivel aún más bajo que \Driver\Disk y de la función que se llame al cerrar el disco abierto anteriormente. Tan pronto como se cierre el disco, todas las intercepciones volverán a su estado anterior.

      [IMG]http://i39.*******.com/11cfof6.png[/IMG]
      Driver ATAP de bajo nivel del sistema infectado


      Merece una mención especial el código del driver, que ha sufrido cambios sustanciales durante este tiempo. La mayoría de las funciones clave que instalan los interceptores de las funciones del sistema operativo son interceptores que cambian de forma, lo que complica el procedimiento de análisis del código malicioso.

      [IMG]http://i44.*******.com/2hzh74i.png[/IMG]
      Ejemplo cifrado de la función de intercepción


      Métodos de defensa

      A pesar de que varias compañías antivirus también han detectado esta variante del bootkit y han desarrollado ciertos métodos para detectarlo, Kaspersky Lab es la única compañía que brinda una protección fiable a sus usuarios contra el bootkit en todas las etapas de su funcionamiento.

      Si el usuario visita una página infectada, Kaspersky Internet Security bloquea:

      1. El acceso al nombre de dominio generado que se asigna al sitio que contiene el exploit:

      [IMG]http://i42.*******.com/168saaf.png[/IMG]


      2. Los scripts de creación y descarga de los exploits:

      [IMG]http://i44.*******.com/ifpzwx.png[/IMG]


      3. Los exploits más peligrosos en vigencia:

      [IMG]http://i44.*******.com/2llhvnp.png[/IMG]


      La parte más compleja e importante de Kaspersky Internet Security es la detección del bootkit activo y la curación del equipo infectado.

      La primera versión de Sinowal apareció a principios de 2008, pero incluso hasta octubre de 2008 sólo 4 de los 15 antivirus más populares podían detectarlo y curarlo. (vínculo en ruso: http://www.anti-malware.ru/malware_treatment_test_2008).

      La variante del bootkit de 2009, por desgracia, sigue siendo un problema serio. En nuestro antivirus existe la solución:

      [IMG]http://i42.*******.com/6h13wk.png[/IMG]


      Después de detectar la amenaza, nuestro antivirus elude todos los interceptores establecidos por el rootkit y cura el MBR infectado:

      [IMG]http://i43.*******.com/204kf6.png[/IMG]


      La defensa en todas y cada una de las etapas del funcionamiento del bootkit (desde la visita al sitio infectado hasta la curación de la infección activa) es de vital importancia, ya que si no se lo detecta, aunque sea en una de las etapas, los delincuentes pueden eludir todos los demás métodos de defensa e infectar el equipo, haciendo que el programa malicioso se mantenga invisible durante mucho tiempo.

      Conclusión

      Los bootkits continúan siendo los programas maliciosos más peligrosos y de difusión más rápida. Y es precisamente para su creación y propagación para lo que se han creado las tecnologías de escritura de virus en estos últimos tiempos.

      Las compañías antivirus deben hacer un atento seguimiento de todas las modificaciones y nuevas tecnologías introducidas por los autores del bootkit, ya que los autores de virus no tardarán en usar estas tecnologías a gran escala.

      Pero es aún más importante optimizar las tecnologías y productos antivirus existentes para contrarrestar no sólo los intentos de infección de ordenadores, sino también detectar las complejísimas amenazas que operan en el sistema operativo a un nivel de profundidad sin precedentes.

      [IMG]http://i44.*******.com/sy606v.gif[/IMG]
      Autores:
      Serguey Golovanov
      Vyacheslav Rusakov



      Fuentes:
      Kaspersky Lab
      viruslist.com
      Última edición por Velcro fecha: 10/06/09 a las 12:25:15 Razón: arreglar error redaccion

    2. #2
      Usuario Avatar de XXShaka2592
      Registrado
      may 2009
      Ubicación
      lima
      Mensajes
      204

      Mensaje Re: El Bootkit de 2009

      MM gracias por la info :D

    3. #3
      Usuario Avatar de Cratus
      Registrado
      nov 2006
      Ubicación
      ::1
      Mensajes
      1.687

      Re: El Bootkit de 2009

      Inquietante y buena info



      - Aquí se habla de la protección y detección por parte de Kaspersky Internet Security


      - Pero, tambien es detectado por su Kaspersky Antivirus Online ??



      Saludos.

    4. #4
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Pregunta Re: El Bootkit de 2009

      Hola Cratus:

      Segun la informacion que despliega el Kaspersky Online Scanner 7 donde no escanea la RAM ,los sectores de boteo y el MBRs, es en Linux en Windows si que lo detectaria y su eliminacion seria instalando el Kaspersky Antivirus ó Kaspersky Internet Security ó en forma manual con alguna herramienta en especifico pues indagando no he encontrado hasta el momento ninguna pues tenemos el problema que un mismo malware las casas antivirus no lo nombran igual sino a su criterio.

      SALUDOS
      Última edición por Velcro fecha: 10/06/09 a las 14:14:32

    5. #5
      Ex-Colaborador Avatar de GuillermoTell
      Registrado
      abr 2006
      Ubicación
      Colombia
      Mensajes
      8.100

      Articulo Re: El Bootkit de 2009

      Hola Velcro, fijate en la diferencia entre este articulo y el que en su momento publicaste en este enlace: Kaspersky logra desenmascarar rootkit MBR: Nueva variante de “Sinowal"

      Si en ese entonces fui muy duro contigo al referirme que ese articulo no aportaba mayor contenido sobre el tema en este tengo que reconocer que la información es bien detallada y de lo más explicita.

      Corresponde de todas formas hacer la misma aclaración de ese momento en este tema: PELIGRO: Mebroot.BD nueva amenaza para el sector de arranque

      4- Los procedimientos usados para desinfectar este malware han sido diversos dependiendo de las condiciones del PC y la variante de mebroot y las compañias Antivirus en su momento han sacado herramientas automáticas de desinfección que han ayudado mucho como el caso de Eset mebroot Remover, Norman Sinowal Cleaner, Symantec Fixmebroot entre otras.También están Dr Web Cure It que detecta y repara algunas de las infecciones de unas variantes y en su momento SDFix detectaba archivos de la infección en su reporte. Esto para mostrar algunas de las herramientas que de manera automática eliminan los archivos asociados a la infección, lo servicios que estos generan y en algunos casos reparan sectores de arranque infectados.

      En algunas oportunidades el malware es muy resistente a la desinfección y se utilizan herramientas como Gmer MBR.exe o Ambience MbrFix.exe pero estas ultimas ultimas siempre bajo supervisión de un experto ya que en algunos casos los pasos son muy delicados y deben hacerse desde MS-DOS para poder reparar los sectores dañados del MBR de forma adecuada para evitar el formateo.

      5- Finalmente decir que pese a que muchos de los casos de infección por Mebroot si han acabado en Formateo en algunas oportunidades ha sido porque el usuario ha desistido de hacer el procedimiento por impaciencia, otras veces por infecciones secundarias o adicionales que tenia el PC o por problemas físicos del disco duro.

      Reconozco que este tipo de Malware es de lo más tedioso para desinfectar pero si se diagnostica adecuadamente y a tiempo los resultados que se pueden obtener en el proceso de desinfección son muy buenos como ya se ha hecho anteriormente en el foro.

      Para terminar solo me quedaría decir que no todo esta perdido en la lucha frente a este molesto malware y que bastante gente de diferentes partes esta día a día recopilando información, analizando muestras y estudiando el comportamiento de la infección para poder enfrentarla de manera eficaz de cara a lo que puedan ser la nuevas variantes de esta amenaza oculta llamada Mebroot.

      Saludos.
      Sobre si el Kaspersky Online detecta esta variante personalmente no he visto el primer reporte en donde la detecte y se puede deber a que no escanee el MBR como se comentaba en el articulo a diferencia de su versión residente que si lo hace.

      Un tema relacionado es el siguiente: MBR Rootkit/Sinowal (Solucionado)

      Allí el malware se mostraba en estos dos reportes:

      Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      kernel: MBR read successfully
      user & kernel MBR OK
      malicious code @ sector 0x12a18ac1 size 0x1a8 !


      Kaspersky AntiVirus Residente

      26/03/2009 18:28:40 Detectados: Backdoor.Win32.Sinowal.br \Device\Harddisk1\DR2
      En el reporte de kaspersky Online no mostraba nada:

      KASPERSKY ONLINE SCANNER INFORME
      miércoles, 01 de abril de 2009 17:43:12
      Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
      Kaspersky Online Scanner versión: 5.0.84.2
      Ultima actualización: 1/04/2009
      Registros en la base antivirus: 1992452
      -------------------------------------------------------------------------------

      Configuración del análisis:
      Analizar usando las siguientes bases: estendidas
      Analizar archivos: verdadero
      Analizar bases de correo: verdadero

      Objetivo a analizar - Mi PC:
      C:\
      D:\
      F:\

      Estadísticas:
      Número de objeros analizados: 96248
      Virus encontrados: 0
      Objetos infectados: 0 / 0
      Objetos sospechosos: 0
      Duración del análisis: 02:43:26
      Finalmente luego de usar la herramienta Ambience MbrFix.exe el kaspersky ya no detectaba la amenaza pero el GMER todavía mostraba rastros del Malware.

      Lo que sucedió es que parte del código quedo copiado en un sector que es difícil de limpiar pero al estar aislado ya de la infección principal esta dejo de estar activa y el kaspersky Residente dejo de detectarla como amenaza.

      Personalmente me he interesado siempre en este malware desde la primera vez en que apareció en el foro y mi recomendación es que al sospechar de estar infectado con este malware realicen lo siguiente:

      - Realizar el procedimiento explicado en esta FAQ: Eliminar MBR Rootkit/Mebroot

      - Si el problema persiste sacar el reporte de GMER Antirootkit free y abrir un nuevo tema en el foro y de preferencia contactar a un experto para que le asesore con la desinfección.

      Saludos.

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de almafuerte89
      Registrado
      mar 2008
      Ubicación
      Argentina
      Mensajes
      287

      Alegria Re: El Bootkit de 2009

      Por fin gente inteligente que puede crear un malware en leguaje de alto nivel y no en so de VBS....

      Por otro lado se ve que la desinfeccion no es nada facil.

      A hora yo pregunto, si uso UBCD for Windows me imagino que lo elimino en forma definitiva (en cuanto a los archivos infectados), y si luego uso FIXMBR no se soluciona el problema?.