Ataca un nuevo troyano difícil de detectar
PandaLabs ha detectado una nueva amenaza en la red. Se trata de troyanos que utilizan ataques con rootkits diseñados para ocultarse y sustituyendo el sector cero del disco duro por uno propio que haga sus funciones.
Este tipo de rootkits dificultan la detección de los códigos maliciosos a los que van asociados. “Este sistema de ataque hace que sea prácticamente imposible detectar el rootkit y los códigos maliciosos a los que oculta una vez que se han instalado en el equipo, utilizando soluciones de seguridad tradicionales”, afirma Luis Corrons, director técnico de PandaLabs, y plantea como única defensa “detectar la presencia de los rootkits antes de que entren en el ordenador. Además, y en previsión de códigos maliciosos desconocidos similares que puedan aparecer, es necesario utilizar tecnologías proactivas capaces de detectar amenazas sin necesidad de conocerlas con anterioridad”.
Hasta ahora, los rootkits se instalaban dentro de algún proceso del sistema, pero los nuevos ejemplares se instalan en una parte del disco duro que se activa antes que el propio sistema operativo. Cuando uno de estos nuevos rootkits es ejecutado en un sistema, realiza una copia del MBR existente, al tiempo que modifica el original con instrucciones maliciosas. Con ello consigue que si se intenta acceder al MBR, en lugar de al falso, el rootkit lo redirigirá al verdadero, evitando que el usuario o las aplicaciones vean algo sospechoso.
Debido a estas modificaciones, cuando el usuario encienda el ordenador, se cargará el MBR modificado, antes de cargar el sistema operativo. En ese momento, el rootkit ejecutará el resto de su código con lo que conseguirá quedar totalmente oculto tanto él como los códigos maliciosos asociados al mismo.
Hasta ahora, los rootkits enmascaraban extensiones o procesos, pero éstos pueden engañar directamente al sistema. Su emplazamiento provoca que el usuario no observe ninguna anomalía en ningún proceso del sistema, puesto que el rootkit cargado en memoria estará vigilando todos los accesos al disco, para hacer invisible al sistema cualquier tipo de malware al que vaya sido asociado.
Para eliminar el código malicioso, el usuario que ya haya sido infectado deberá arrancar el ordenador con un CD de arranque para así no ejecutar el MBR y restaurarlo.
