Detectan varios troyanos que utilizan una nueva forma de ataques con rootkits

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha detectado la aparición de troyanos que incluyen rootkits (MBRtool.A, MBRtool.B, MBRtool.C, etc.) diseñados para suplantar el master boot record (MBR), el primer sector o sector cero del disco duro, por uno propio. Esto supone una auténtica novedad en la utilización de rootkits, ya que hacen aún más difícil la detección de los códigos maliciosos a los que van asociados.

"Este sistema de ataque hace que sea prácticamente imposible detectar el rootkit y los códigos maliciosos a los que oculta una vez que se han instalado en el equipo, utilizando soluciones de seguridad tradicionales", afirma Luis Corrons, Director Técnico de PandaLabs, que añade: "la única defensa sería detectar la presencia de estos rootkits antes de que entren en el ordenador. Además, y en previsión de códigos maliciosos desconocidos similares que puedan aparecer, es necesario utilizar tecnologías proactivas capaces de detectar amenazas sin necesidad de conocerlas con anterioridad".

El propósito de los rootkits en el campo de la ciber-delincuencia es ocultar la acción de los ejemplares de malware, dificultando así su detección. Hasta ahora, los rootkits se instalaban dentro de algún proceso del sistema, pero los nuevos ejemplares que PandaLabs ha localizado se instalan en una parte del disco duro que se activa antes que el propio sistema operativo.

Cuando uno de estos nuevos rootkits es ejecutado en un sistema, realiza una copia del MBR existente, al tiempo que modifica el original con instrucciones maliciosas. Con ello consigue que si se intenta acceder al MBR, en lugar de al falso, el rootkit lo redirigirá al verdadero, evitando que el usuario o las aplicaciones vean algo sospechoso.

Debido a estas modificaciones, cuando el usuario encienda el ordenador, se cargará el MBR modificado, antes de cargar el sistema operativo. En ese momento, el rootkit ejecutará el resto de su código con lo que conseguirá quedar totalmente oculto tanto él como los códigos maliciosos asociados al mismo.

Hasta ahora, los rootkits enmascaraban extensiones o procesos, pero estos nuevos ejemplares pueden engañar directamente al sistema. Su emplazamiento provoca que el usuario no observe ninguna anomalía en ningún proceso del sistema, puesto que el rootkit cargado en memoria estará vigilando todos los accesos al disco, para hacer invisible al sistema cualquier tipo de malware al que vaya sido asociado.

Los usuarios deben extremar las precauciones ante este nuevo tipo de amenaza. Por ello, es conveniente que no ejecuten ningún archivo de procedencia desconocida que les llegue por correo electrónico, mensajería instantánea u otros medios.

Para eliminar el código malicioso, el usuario que ya haya sido infectado deberá arrancar el ordenador con un CD de arranque para así no ejecutar el MBR. A continuación, deberá restaurar éste con utilidades como fixmbr de la consola de recuperación de Windows, cuando la infección se produce con este sistema operativo instalado.

"Estos rootkits también podrían utilizarse para afectar a otras plataformas como Linux, ya que se ejecutan antes que el MBR, por lo que su acción es independiente del sistema operativo que tenga instalado el usuario", concluye Luis Corrons.

PD:Cuidado con este troyano , tengan cuidado por donde navegan y que descargan.

mmm...
interesante...

pero muchas palabras de cultura cibernética -_-! que daño causa???

Que mal, menos mal que hay contra ataque

yoyoyo escribió:mmm...
interesante...

pero muchas palabras de cultura cibernética -_-! que daño causa???

¿Daño?, ¿Conoces la función de los troyanos?, si no yo te explico (:

Los Troyanos son códigos maliciosos que se esconden de tras de una apariencia inocente. Para luego instalarse en el Sistema. Gracias a la inteligencia del usuario
Para dar ejemplos simples. Cuando un Troyano se dedica a monitorear lo que el usuario hace en su ordenador, se le llama Spyware.
Cuando captura las pulsaciones de las teclas se le cataloga como Keylogger...
Y así... con tareas como enviar correos automáticamente, Permitir el Acceso y control del Sistema, Destrucción de datos, Los tipo Proxy que te cambian la identidad de el ordenador infectado, los tipo FTP que pueden enviar o descargar datos a la computadora infectada, algunos des habilitan los antivirus y cortafuegos; entre otros.

Normalmente borran o sobrescriben datos (pero de manera muy metódica no como los virus que solo entran a destruir sin mas).
Pueden cifrar datos del ordenador y luego enviar alguna notificación de como pagar para poder recibir una clave acceder a esos datos XD!... y puff un millón de cosas (Vamos ya me canse de escribir lol)

N/A - ERROR