Nueva version del MBR rootkit ha sido descubierta


Hace algunos meses se hablaba sobre este malware que podía infectar el sector de inicio de los discos duros, este utilizaba técnicas de rootkits para ocultarse y controlar el núcleo de Windows desde el comienzo.

Luego de conocido este nuevo malware y que fuera noticia en varios medios creando preocupación por los daños que podía causar, los fabricantes de antivirus crearon o actualizaron sus firmas de virus para detectar esta amenaza.

También se discutió si era real o posible la infección por este tipo de virus debido a la protección que Windows XP y Vista tienen en el registro maestro de arranque (MBR).

Cuando se creía que el problema había pasado a un segundo plano debido a que todos los antivirus reconocían este malware, fueron descubiertas nuevas mutaciones del MBR rootkit las cuales utilizan un camuflaje mas elaborado e inteligente para ocultarse.

Las primeras variantes solo modificaron algunas funciones en el archivo disk.sys con el fin de ocultar el contenido real de la MBR.

Nuevamente los fabricantes de antivirus y el autor de GMER anti-rootkit (quien descubrió la primera versión del MBR rootkit) consiguieron evadir estos cambios leyendo el contenido directamente de la dirección original, estos datos podían extraerse de la función del sistema ClassPnpReadWrite que se encuentra en el controlador Classpnp.sys, de esta forma se logro detectar esta nueva versión.

Hoy fue descubierta una nueva mutación del malware, la cual manipula valores del controlador Classpnp.sys para que las rutinas de detección lean una dirección equivocada de la MBR. De esa forma evita que algunos antivirus y antirootkits puedan detectar su presencia.

También lleva a cabo un monitoreo constante de la MBR, si esta es modificada o el virus es eliminado mientras este ejecutándose, el mismo vuelve a reinstalarse.

Empresas de seguridad informática han cambiado sus mecanismos de detección con el fin de reconocer y eliminar las nuevas variantes.

Se cree que otras modificaciones podrían surgir en cualquier momento incrementando así la posibilidad de riesgo en los equipos que no se encuentren debidamente protegidos.

Para evitar ser infectado se debe mantener el antivirus actualizado y al día con la última firma de virus que se encuentre disponible.

No descargar y ejecutar archivos sin antes ser revisados o simplemente eliminarlos si se sospecha de ellos, evitar visitar sitios de dudoso contenido y no seguir enlaces en correos electrónicos también puede ayudar a prevenir una infección no deseada.


FUENTE