Cidox, peligroso rootkit NTFS para equipos Windows

Publicado el 7 julio 2011 ¬ 15:29 pmh.mscComentarios desactivados en Cidox, peligroso rootkit NTFS para equipos Windows

Kaspersky Lab ha identificado un nuevo malware que escribe código malicioso en el bootloader NTFS. La amenaza ha sido bautizada como Cidox, y hace gala de dos drivers rootkit, uno para Windows 32 bits y otro para Windows 64 bits.
Como parte de la rutina de infección, Cidox determina qué versión de sistema operativo se utiliza y copia el driver correspondiente en los sectores vacíos del comienzo de la unidad. Sólo infecta particiones NTFS y determina la activa echando un ojo en el MBR. Después procede a reemplazar el código Extended NTFS IPL (Initial Program Loader). El original queda cifrado y salvado.

Este comportamiento forma parte de una técnica especial que aprovecha las características kernel de Windows para cargar drivers maliciosos en el sistema. El driver en cuestión interactúa con procesos como svchost.exe, iexplore.exe, firefox.exe, opera.exe y chrome.exe a través de una DLL especial.

En palabras de Vyacheslav Zakorzhevsky de Kaspersky:

“Esta librería modifica cualquier salida del navegador, sustituyéndola por la suya propia. Como resultado, el usuario ve una ventana del incitándole a actualizar el navegador debido a programas maliciosos detectados en el sistema.”

Esta amenaza es scareware ya que pide al usuario mandar un SMS a un número premium para renovar su navegador. Aparece de manera bastante convincente con páginas personalizadas para cada navegador con imágenes de las webs originales. Por el momento ha sido detectado sólo en Rusia.

Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies