Rootkit del sector de arranque, más ruido que peligro

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Rootkit del sector de arranque, más ruido que peligro

Compartir

Se han publicado en las últimas semanas, múltiples informes y noticias acerca de un rootkit que es capaz de cargarse desde el MBR (Master Boot Record) del disco duro, cada vez que se reinicia la máquina.

Este ataque ha captado la atención de la prensa (más que de los expertos), que lo han catalogado desde simplemente curioso (o novedoso para algunos), hasta como una "gran amenaza" para la seguridad de nuestros equipos.

Principalmente, se ha dicho que es capaz de modificar el MBR sin necesidad de tener los privilegios para cambiar el código a ese nivel.

Y cómo el Master Boot Record (MBR) o sector maestro de arranque, se ejecuta antes que el sistema operativo tome el control (y por lo tanto que cualquier software de seguridad que corra bajo ese sistema), parecería ser un punto de lanzamiento ideal para un rootkit, y una amenaza grave a nuestro sistema.

Primero que nada, la infección del MBR no es novedosa, y quienes utilizamos computadoras desde la época en que los sistemas operativos entraban en un solo disquete, sabemos que es posible este tipo de infección. Pero que también es posible revertirla volviendo el MBR a su estado original. De todos modos, actualmente no es tan sencillo acceder al MBR desde el propio sistema operativo, como veremos más adelante.

La definición simple de un rootkit, lo catalogaría como "una o más herramientas usualmente asociadas con el intento de obtener o mantener acceso privilegiado, ocultando el hecho de que el sistema ha sido comprometido."

Según una definición más ajustada, David Harley y Andrew Lee (de ESET), (ver "¿La raíz de todos los males? - Rootkits revelados", http://www.vsantivirus.com/rootkits-revelados.htm), dicen que se trata de "una clase de conjunto de herramientas instalado en un sistema con privilegios de usuario con el fin de mantener acceso y control privilegiado, permitir al individuo y/o software hacer uso de dicho acceso del modo que prefiera, y ocultar o restringir el acceso a objetos tales como Procesos, Hilos de ejecución (threads), Archivos, Carpetas, Directorios y Subdirectorios, Entradas de registro, Puertos abiertos y Controladores."

Está claro que aunque esta última definición de por si no presupone que sean herramientas para realizar acciones maliciosas, ni involucren alguna clase de intrusión, es decir acceso no autorizado al equipo, el hecho de que se instalen y ejecuten sin nuestro consentimiento, lo convierten automáticamente en malware.

Volviendo al rootkit del sector de arranque, de acuerdo con los informes mencionados antes, el mismo está basado, al menos parcialmente, en otro creado con propósitos de investigación por eEye en 2005, llamado BootRoot (parte del proyecto eEye BootRootKit network kernel backdoor).

Según la información sobre BootRoot, la modificación del sector de arranque del disco con acceso directo al mismo (al nivel de Entrada/Salida del BIOS), puede ser realizado por código del usuario. Es importante hacer notar que el BootRootKit creado por eEye no causa ninguna modificación al sistema, y es solo una demostración que se "engancha" a las funciones de la biblioteca NDIS.SYS de Windows para monitorear los paquetes de red que ingresan.

eEye solo habla de que "es posible modificar el BootRootKit para que reemplace al MBR, pero ello requiere cambios en su código." Pero el BootRoot de eEye no hace eso.

El MBR no es otra cosa que un pequeño programa (en assembler) que el sistema operativo utiliza para iniciarse, y que está presente en el primer sector de las particiones primarias, y en cualquier sector de particiones extendidas de arranque.

El Master Boot Record es cargado automáticamente por el BIOS cuando se inicia el sistema desde el disco duro. Este pequeño programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cuál es la partición preparada para arrancar (booteable), pasar de disco a memoria el sector de arranque de ésta (boot sector), y darle a éste el control para que se ejecute y cargue el sistema operativo.

En una reciente entrada de su blog, el equipo antimalware de Microsoft (Microsoft's Anti-Malware Engineering Team), hace algunas puntualizaciones al respecto de lo publicado en estas semanas sobre este rootkit.

En primer lugar, su instalación requiere modificar el MBR para garantizar que el código malicioso pueda persistir a través de cada reinicio. Para ello, utiliza la API llamada "CreateFile", intentando abrir el dispositivo "\Device\Harddisk0\DR0" para acceso de escritura.

Para utilizar el API CreateFile de esta manera (para acceder de forma directa al disco), se requieren privilegios administrativos, según se menciona en el artículo "INFORMACIÓN: Acceso de unidad directa en Win32", http://support.microsoft.com/kb/100027/es.

De ese modo, quien ha iniciado sesión en Windows como usuario normal, o quienes utilizan Windows Vista con el UAC habilitado (Control de Cuentas de Usuario), incluso si accidentalmente ejecutaran el instalador del rootkit, o si el mismo lo hiciera automáticamente a través de algún exploit o vulnerabilidad, o vía otro malware, lo haría con privilegios insuficientes para modificar el MBR del disco duro, por lo que no sería capaz de persistir al próximo reinicio del sistema.

Según el artículo kb/100027 mencionado antes, para acceder a un disco físico o una unidad lógica a ese nivel utilizando las APIs, se deben tener los derechos adecuados de acceso a la unidad (es decir, el usuario que inició la sesión debe ser un administrador).

Esto hace que la amenaza de este rootkit sea mucho menos exótica de lo que ha escrito mucha prensa. Microsoft también señala que incluso un caso de MBR sucio o corrupto, puede ser resuelto fácilmente si se utiliza la opción "La última configuración buena conocida" del menú de arranque (pulsando F8 al iniciarse la máquina) o desde la consola de recuperación de Windows.

En definitiva, el famoso rootkit de sector de arranque, no es muy diferente a cualquier otro malware, desde el punto de vista de peligrosidad o accesibilidad al sistema para infectarlo, y además, tiene muy pocas probabilidades de mantenerse luego de un reinicio.

Cómo con todo código malicioso, no es bueno tenerlo en una máquina, pero tampoco representa un peligro mayor como algunas publicaciones han aseverado.

ESET NOD32 detecta el rootkit propiamente dicho, como Win32/Agent.DSJ desde la base de firmas 2768 (6/ene/08). Posibles instaladores del código, eran detectados desde octubre del pasado año como variantes del Win32/PSW.Sinowal.

Fuente: Vsantivirus
Compartir
  #1  
Creado: 21-Jan-2008, a las 11:41 Vistas: 565
Categoria: Noticias de Seguridad Informatica
Creado por: Nafer Nafer está desconectado (05-October-2007 | 3.524 Mensajes.)
Respuesta

Etiquetas
arranque, más, ruido, sector, rootkits


Temas Similares
» Nikon Coolpix S80 bajo la lupa: mucho ruido y pocas nueces 0
» Usar Photoshop para reducir el ruido y mejorar tus fotografias artisticas 0
» iPhone 3G ¿por qué tanto ruido? 0
» El Peligro de los Electrones en el Espacio 0
» Rapidshare en peligro de desaparecer 0
» Ruido y rabia en el campeonato mundial de videojuegos en EEUU 0
» MI CPU HACE DEMASIADO RUIDO!!! 1
» Mucho ruido y poco iPod 0
» Problemas para instalar xp posible virus sector de arranque 1
» Como eliminar un virus en sector de arranque usando Fdisk 3


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 10:26.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4