• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 15

    Nuevo Rootkit ataca el sector de arranque

    Nuevo Rootkit ataca el sector de arranque (Rookit.Win32.Fisp.a) Desde hace unos días podemos leer en determinados blogs, artículos que advierten de que un rootkit de origen chino está siendo diseminado por la red . Los ...

          
    1. #1
      Ex-Colaborador Avatar de Black Wolf
      Registrado
      jun 2009
      Ubicación
      España
      Mensajes
      10.312

      Mensaje Nuevo Rootkit ataca el sector de arranque

      Nuevo Rootkit ataca el sector de arranque (Rookit.Win32.Fisp.a)


      Desde hace unos días podemos leer en determinados blogs, artículos que advierten de que un rootkit de origen chino está siendo diseminado por la red. Los laboratorios Kaspersky lo identifican como Rookit.Win32.Fisp.a.

      Esta vez la propagación se da a través de un vídeo colgado en una falsa web de porno china. Según lo publicado, una vez ejecutado el malware sustituye el sector de arranque por una versión modificada. Cuando se reinicia el dispositivo, el proceso troyano toma control del dispositivo y finalmente vuelve a escribir la versión original del MBR, del cual previamente ha hecho un backup.

      Otra de las técnicas que incorpora es una búsqueda de procesos relativos a antivirus, para ello dispone de una lista de cadenas que emplea para dicha búsqueda. Si detecta la presencia de algún proceso relacionado intenta detenerlo.

      La lista de cadena que incorpora es la siguiente:

      Beike, Beijing Rising Information Technology, AVG Technologies, Trend Micro, BITDEFENDER LLC, Symantec Corporation, Kaspersky Lab, ESET, spol, Beijing Jiangmin, Kingsoft Software, 360.cn, Keniu Network Technology (Beijing) Co, Qizhi Software (beijing) Co.
      Hasta donde hemos podido conocer, se utiliza la típica técnica de recopilación de información del ordenador, y posterior envío de dicha información mediante una petición HTTP con la siguiente estructura:

      http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=none&g=none&k=a&h=62&i=2&j=0321-01

      Donde podemos ver que se están enviando al servidor de la botnet datos como pueden ser la versión del Sistema Operativo, la dirección IP en la red interna, etc.

      Determinadas fuentes relacionan el rootkit con el robo de credenciales de juegos online, si bien en los informes que hasta la fecha se han publicado no se presentan evidencias de que el troyano intercepte peticiones para robar credenciales, haga búsquedas en ficheros o cualquier otro tipo de actividad dañina para los usuarios infectados.

      Una limitación a la hora de remover el troyano del sistema es el hecho de que éste controla el sistema operativo antes de cargar el motor antivirus en memoria, lo cual dificulta las tareas de detección y eliminación.



      Diagrama-resumen del proceso de infección
      <The Chinese bootkit (Securelist.com)>



      __________________________________________________


      Aunque los productos de Kaspersky Lab logran con éxito detectar y neutralizar Rootkit.Win32.Fisp.a.; se aconseja a aquellas personas afectadas por dicha infección que intenten en primer lugar los pasos para:



      Si a pesar de realizar dichos pasos, la infección persiste; se recomienda abrir un tema nuevo en el Foro de Virus y Spywares:

      Indicando

      • Versión de Windows y programas de seguridad instalados
      • un breve resumen del mal-funcionamiento del pc
      • y sobre todo, los reportes de las herramientas empleadas hasta el momento


      ¿Cómo crear un tema nuevo?


      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      >> No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. <<

    2. #2
      Ex-Colaborador Avatar de Xtreme Hero
      Registrado
      dic 2010
      Ubicación
      España
      Mensajes
      9.014

      Re: Nuevo Rootkit ataca el sector de arranque

      Buena noticia black wolf

      Se nota que las páginas porno son un foco de infección pero...¿un rootkit?. Esto lleva mucho que pensar,ya que no es lo mismo un rootkit que infecta el sector de arranque que uno que quiera solo el control del pc

      Me quedo con esta frase,que ya es un tópico con respecto a los malware:

      Otra de las técnicas que incorpora es una búsqueda de procesos relativos a antivirus, para ello dispone de una lista de cadenas que emplea para dicha búsqueda. Si detecta la presencia de algún proceso relacionado intenta detenerlo.
      Un saludo
      Lucha Hasta El Final

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Moderador.
      Avatar de @Tincho
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      14.701

      Re: Nuevo Rootkit ataca el sector de arranque

      Buenas.


      Muy bueno lorenzo, incluso con una compañera hemos detectado una variante resistente a las herramientas que veníamos usando.

      Gracias por el aporte.
      Tyny's
      If on your journey, you should encounter God, God will be cut!

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Ex-Colaborador Avatar de Black Wolf
      Registrado
      jun 2009
      Ubicación
      España
      Mensajes
      10.312

      Mensaje Re: Nuevo Rootkit ataca el sector de arranque

      Hola,

      Últimamente el malware se dedica no sólo a terminar el proceso del antivirus; sino a bloquearlo por medio del registro con los:

      • Security Hijack [ImageFileExecutionOptions]


      Aunque con Malwarebytes', SUPERAntiSpyware e incluso UsbFix, se pueden detectar y eliminar .

      PD: Esperemos no tener muchas incidencias de este rootkit por el Foro

      Salu2

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      >> No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. <<

    5. #5
      Moderador Gral.
      Avatar de @Javier_HF
      Registrado
      jun 2006
      Ubicación
      Spain.
      Mensajes
      21.711

      Re: Nuevo Rootkit ataca el sector de arranque

      Muchas gracias por compartir esta noticia Black Wolf.

      Lo malo es que cada dia nos lo quieren complicar un poquito mas.

      Saludos, Javier.


      Quien no lo intenta no lo consigue | ;-)

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Ex-Colaborador Avatar de @DavidLujan
      Registrado
      abr 2009
      Ubicación
      Argentina
      Mensajes
      2.707

      Re: Nuevo Rootkit ataca el sector de arranque

      Hola Black Wolf

      Gracias por la información


      Cita Originalmente publicado por Xtreme Hero Ver Mensaje
      Buena noticia black wolf

      Se nota que las páginas porno son un foco de infección
      En realidad la temática no tiene nada que ver, que un sitio sea para adultos no significa que sea un peligro para la seguridad ( salvo que seas menor de edad ), a lo que apelan los que distribuyen malwares es a sitios con mucho tráfico de usuarios y digamos "a la curiosidad de estos".

      Como lo dice la noticia, es un sitio falso, no un sitio legitimo, solo creado para diseminar este malware.

      Ahora no lo dice la nota pero supongo que el ataque es por una vulnerabilidad en Flash Player o recurriendo a la ingienieria social, pide instalar un complemento para visualizar el video, por eso hay que tener todo actualizado y no descargar cosas de cualquier lado.

      Saludos!

    7. #7
      Ex-Colaborador Avatar de Rollinguit
      Registrado
      sep 2009
      Ubicación
      Argentina
      Mensajes
      6.224

      Re: Nuevo Rootkit ataca el sector de arranque

      Buena información Lorenzo!


      A estar al tanto ...



      Saludos!

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de Audi2010
      Registrado
      sep 2010
      Ubicación
      En La Luna
      Mensajes
      205

      Re: Nuevo Rootkit ataca el sector de arranque

      Andale...se vienen fuertes los hackeos y las infecciones mas complicadas....habra que estar atentos.....paz

    9. #9
      Usuario Avatar de TheLordTherion
      Registrado
      oct 2010
      Ubicación
      /home/Acapulco/
      Mensajes
      1.010

      Re: Nuevo Rootkit ataca el sector de arranque

      Tendré que testearlo en mi máquina, PERO EN UNA VIRTUAL O DE PRUEBAS XD es más que obvio.

      Veré si puede afectar a otras plataformas como BSD, Linux y Mac. pero lo de el método de desinfección o incluso la limpieza del MBR será lo más arduo.

      Gracias por la info .

    10. #10
      Usuario Avatar de Maxuelll
      Registrado
      ene 2009
      Ubicación
      Argentina
      Mensajes
      930

      Re: Nuevo Rootkit ataca el sector de arranque

      Gracias por la info compañero, no deja uno de sorprenderse nunca con estas cosas

      Un rootkit en páginas porno??? qué sigue, papá pitufo modificanco el registro de Windows?

      Un abrazo!

    Página 1 de 2 12 ÚltimoÚltimo