Nuevo Whistler Bootkit (Rootkit de MBR)

[b]Rootkit que se instala en el sector MBR (Master Boot Record)[/b]

Whistler Bootkit es una amenaza que circula por la red de este nuevo estilo de código malicioso Rootkit/Bootkit, del cual hemos estado recibiendo varios casos en el foro en las ultimas semanas, con síntomas que parecieran más bien de una película de terror cuando el equipo comienza a reproducir música solo o de golpe se nos baja el volumen, que de una infección por un malware.

Si bien tanto los Rootkits como los Bootkit forman parte de un mismo concepto y los objetivos finales terminan siendo siempre los mismos, existe una serie de patrones que los diferencian y hacen del bootkit la inevitable evolución del rootkit convencional sumando al estado del arte del ocultamiento acciones más complejas.

Whistler Bootkit es también conocido como “Black Internet” y ataca a todas las versiones de Windows desde 2000 hasta la reciente Server 2008 y Windows 7 (32 y 64bits), sumando funciones más complejas como la capacidad de infectar el “Master Boot Record”. Una vez que el equipo es infectado por esté, queda a total disposición de su atacante pudiéndolo convertirse en parte de una Botnet, entre otras cosas…

Al activarse desde el MBR (Master Boot Record), el bootkit se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los bootkits no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel)

Whistler no es el primero de su clase ya que el primero fue presentado por Peter Kleissner en la BlackHat 2009 y llamado “Stoned Bootkit” (basado en el famoso virus Stoned), pero si es el último de este estilo en sumarse a sus primos MBR Rootkit/ Mebroot y TDSS/TDL3.

Las compañías antivirus suelen catalogarlos como peligrosos o extremadamente peligrosos, por lo escurridizos y difíciles de eliminar que suelen ser, por lo que seguramente veamos cada vez más y más nuevos ejemplares del estilo Bootkits/Rootkits en un futuro no muy lejano…

Síntomas visible en una infección de “Whistler Bootkit”:

-> Se baja solo el volumen del PC.
-> Se baja solo la barra de (Wave) del sonido.
-> Se activan varios iexplorer.exe consumiendo recursos.
-> Se nos abren ventanas de publicidad (popups) continuamente.
-> El equipo comienza a reproducir Música sólo y sin pedirlo.
La manera de  eliminarlo es arrancar con el CD de instalación, pulsar R para entrar en CONSOLA DE RECUPERACION, y desde alli ejecutar FIXMBR, lo cual sobreescribirá el Master Boot Record implementando el original del sistema, lo cual eliminará el lanzamiento del virus al arrancar el ordenador desde el disco duro.

Evidentemente si se tiene una particion toqueteada por el Partition Magic o similar deberán seguirse las indicaciones del fabricante de dicha utilidad para restaurar el contenido de dicho sector por el original

saludos

ms, 2-10-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies