Rootkit en el sector de arranque ¿otra vez?

En los últimos días hemos tenido consultas sobre esta noticia que ha sido publicada en varios medios comenzado por su fuente original Gmer, por lo que a continuación comentamos algo al respecto.

Como se sabe, la Master Boot Record (MBR para los amigos) es el primer sector del disco y por ello es utilizado como sector de arranque del mismo. En la conferencia Black Hat de 2005 un par de investigadores presentaron una tecnología que denominaron BootRootKit y que puede ser utilizada para modificar la secuencia de arranque de Windows.

En ese momento, se publicó el código ensamblador de este programa y a fines del 2007 se comenzó a encontrar diversos tipos de malware que hacen uso de esta tecnología para infectar el sector de inicio del disco y así lograr pasar desapercibido para el sistema operativo y algunas herramientas de seguridad, debido a que no realiza ninguna modificación que involucren al sistema operativo (archivos, registro, dato, etc.).

Otra complejidad extra de este tipo de malware radica en que al almacenarse directamente en los sectores del disco, el mismo no puede ser eliminado convencionalmente por lo que deberemos volver al “antiguo” FDISK /MBR (o fixmbr) o instalar ESET NOD32 que detecta este RootKit desde octubre pasado como Sinowal o Mebroot.

¿Quién dijo que vivir la época de los virus para DOS no era de utilidad?

Cristian

Autor , ESET

Síguenos