Mostrando mensaje 1671     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2619 Año 11, lunes 21 de enero de 2008 Fecha: Domingo, 20 de Enero, 2008  20:58:15 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2619 Año 11, lunes 21 de enero de 2008 _____________________________________________________________ Rootkit del sector de arranque, más ruido que peligro _____________________________________________________________ http://www.vsantivirus.com/mbr-rootkit-210108.htm Rootkit del sector de arranque, más ruido que peligro Por Jose Luis Lopez (*) videosoft@videosoft.net.uy Se han publicado en las últimas semanas, múltiples informes y noticias acerca de un rootkit que es capaz de cargarse desde el MBR (Master Boot Record) del disco duro, cada vez que se reinicia la máquina. Este ataque ha captado la atención de la prensa (más que de los expertos), que lo han catalogado desde simplemente curioso (o novedoso para algunos), hasta como una "gran amenaza" para la seguridad de nuestros equipos. Principalmente, se ha dicho que es capaz de modificar el MBR sin necesidad de tener los privilegios para cambiar el código a ese nivel. Y cómo el Master Boot Record (MBR) o sector maestro de arranque, se ejecuta antes que el sistema operativo tome el control (y por lo tanto que cualquier software de seguridad que corra bajo ese sistema), parecería ser un punto de lanzamiento ideal para un rootkit, y una amenaza grave a nuestro sistema. Primero que nada, la infección del MBR no es novedosa, y quienes utilizamos computadoras desde la época en que los sistemas operativos entraban en un solo disquete, sabemos que es posible este tipo de infección. Pero que también es posible revertirla volviendo el MBR a su estado original. De todos modos, actualmente no es tan sencillo acceder al MBR desde el propio sistema operativo, como veremos más adelante. La definición simple de un rootkit, lo catalogaría como "una o más herramientas usualmente asociadas con el intento de obtener o mantener acceso privilegiado, ocultando el hecho de que el sistema ha sido comprometido." Según una definición más ajustada, David Harley y Andrew Lee (de ESET), (ver "¿La raíz de todos los males? - Rootkits revelados", http://www.vsantivirus.com/rootkits-revelados.htm), dicen que se trata de "una clase de conjunto de herramientas instalado en un sistema con privilegios de usuario con el fin de mantener acceso y control privilegiado, permitir al individuo y/o software hacer uso de dicho acceso del modo que prefiera, y ocultar o restringir el acceso a objetos tales como Procesos, Hilos de ejecución (threads), Archivos, Carpetas, Directorios y Subdirectorios, Entradas de registro, Puertos abiertos y Controladores." Está claro que aunque esta última definición de por si no presupone que sean herramientas para realizar acciones maliciosas, ni involucren alguna clase de intrusión, es decir acceso no autorizado al equipo, el hecho de que se instalen y ejecuten sin nuestro consentimiento, lo convierten automáticamente en malware. Volviendo al rootkit del sector de arranque, de acuerdo con los informes mencionados antes, el mismo está basado, al menos parcialmente, en otro creado con propósitos de investigación por eEye en 2005, llamado BootRoot (parte del proyecto eEye BootRootKit network kernel backdoor). Según la información sobre BootRoot, la modificación del sector de arranque del disco con acceso directo al mismo (al nivel de Entrada/Salida del BIOS), puede ser realizado por código del usuario. Es importante hacer notar que el BootRootKit creado por eEye no causa ninguna modificación al sistema, y es solo una demostración que se "engancha" a las funciones de la biblioteca NDIS.SYS de Windows para monitorear los paquetes de red que ingresan. eEye solo habla de que "es posible modificar el BootRootKit para que reemplace al MBR, pero ello requiere cambios en su código." Pero el BootRoot de eEye no hace eso. El MBR no es otra cosa que un pequeño programa (en assembler) que el sistema operativo utiliza para iniciarse, y que está presente en el primer sector de las particiones primarias, y en cualquier sector de particiones extendidas de arranque. El Master Boot Record es cargado automáticamente por el BIOS cuando se inicia el sistema desde el disco duro. Este pequeño programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cuál es la partición preparada para arrancar (booteable), pasar de disco a memoria el sector de arranque de ésta (boot sector), y darle a éste el control para que se ejecute y cargue el sistema operativo. En una reciente entrada de su blog, el equipo antimalware de Microsoft (Microsoft's Anti-Malware Engineering Team), hace algunas puntualizaciones al respecto de lo publicado en estas semanas sobre este rootkit. En primer lugar, su instalación requiere modificar el MBR para garantizar que el código malicioso pueda persistir a través de cada reinicio. Para ello, utiliza la API llamada "CreateFile", intentando abrir el dispositivo "\Device\Harddisk0\DR0" para acceso de escritura. Para utilizar el API CreateFile de esta manera (para acceder de forma directa al disco), se requieren privilegios administrativos, según se menciona en el artículo "INFORMACIÓN: Acceso de unidad directa en Win32", http://support.microsoft.com/kb/100027/es. De ese modo, quien ha iniciado sesión en Windows como usuario normal, o quienes utilizan Windows Vista con el UAC habilitado (Control de Cuentas de Usuario), incluso si accidentalmente ejecutaran el instalador del rootkit, o si el mismo lo hiciera automáticamente a través de algún exploit o vulnerabilidad, o vía otro malware, lo haría con privilegios insuficientes para modificar el MBR del disco duro, por lo que no sería capaz de persistir al próximo reinicio del sistema. Según el artículo kb/100027 mencionado antes, para acceder a un disco físico o una unidad lógica a ese nivel utilizando las APIs, se deben tener los derechos adecuados de acceso a la unidad (es decir, el usuario que inició la sesión debe ser un administrador). Esto hace que la amenaza de este rootkit sea mucho menos exótica de lo que ha escrito mucha prensa. Microsoft también señala que incluso un caso de MBR sucio o corrupto, puede ser resuelto fácilmente si se utiliza la opción "La última configuración buena conocida" del menú de arranque (pulsando F8 al iniciarse la máquina) o desde la consola de recuperación de Windows. En definitiva, el famoso rootkit de sector de arranque, no es muy diferente a cualquier otro malware, desde el punto de vista de peligrosidad o accesibilidad al sistema para infectarlo, y además, tiene muy pocas probabilidades de mantenerse luego de un reinicio. Cómo con todo código malicioso, no es bueno tenerlo en una máquina, pero tampoco representa un peligro mayor como algunas publicaciones han aseverado. ESET NOD32 detecta el rootkit propiamente dicho, como Win32/Agent.DSJ desde la base de firmas 2768 (6/ene/08). Posibles instaladores del código, eran detectados desde octubre del pasado año como variantes del Win32/PSW.Sinowal. (*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director ejecutivo de ESET NOD32 Uruguay. * Referencias: Microsoft Anti-Malware Engineering Team MBR rootkit: VirTool:WinNT/Sinowal.A report http://tinyurl.com/3ct3wk INFORMACIÓN: Acceso de unidad directa en Win32 http://support.microsoft.com/kb/100027/es BootRoot http://research.eeye.com/html/tools/RT20060801-7.html Rootkit en el sector de arranque ¿otra vez? http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200358819&n=2 * Relacionados: Boletín técnico: virus en sectores de arranque http://www.vsantivirus.com/fdisk-mbr.htm ¿La raíz de todos los males? - Rootkits revelados http://www.vsantivirus.com/rootkits-revelados.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.eset.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2619 Año 11, lunes 21 de enero de 2008