Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Rootkit del sector de arranque, más ruido que peligro
 
VSantivirus No 2619 Año 11, lunes 21 de enero de 2008

Rootkit del sector de arranque, más ruido que peligro
http://www.vsantivirus.com/mbr-rootkit-210108.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

Se han publicado en las últimas semanas, múltiples informes y noticias acerca de un rootkit que es capaz de cargarse desde el MBR (Master Boot Record) del disco duro, cada vez que se reinicia la máquina.

Este ataque ha captado la atención de la prensa (más que de los expertos), que lo han catalogado desde simplemente curioso (o novedoso para algunos), hasta como una "gran amenaza" para la seguridad de nuestros equipos.

Principalmente, se ha dicho que es capaz de modificar el MBR sin necesidad de tener los privilegios para cambiar el código a ese nivel.

Y cómo el Master Boot Record (MBR) o sector maestro de arranque, se ejecuta antes que el sistema operativo tome el control (y por lo tanto que cualquier software de seguridad que corra bajo ese sistema), parecería ser un punto de lanzamiento ideal para un rootkit, y una amenaza grave a nuestro sistema.

Primero que nada, la infección del MBR no es novedosa, y quienes utilizamos computadoras desde la época en que los sistemas operativos entraban en un solo disquete, sabemos que es posible este tipo de infección. Pero que también es posible revertirla volviendo el MBR a su estado original. De todos modos, actualmente no es tan sencillo acceder al MBR desde el propio sistema operativo, como veremos más adelante.

La definición simple de un rootkit, lo catalogaría como "una o más herramientas usualmente asociadas con el intento de obtener o mantener acceso privilegiado, ocultando el hecho de que el sistema ha sido comprometido."

Según una definición más ajustada, David Harley y Andrew Lee (de ESET), (ver "¿La raíz de todos los males? - Rootkits revelados", http://www.vsantivirus.com/rootkits-revelados.htm), dicen que se trata de "una clase de conjunto de herramientas instalado en un sistema con privilegios de usuario con el fin de mantener acceso y control privilegiado, permitir al individuo y/o software hacer uso de dicho acceso del modo que prefiera, y ocultar o restringir el acceso a objetos tales como Procesos, Hilos de ejecución (threads), Archivos, Carpetas, Directorios y Subdirectorios, Entradas de registro, Puertos abiertos y Controladores."

Está claro que aunque esta última definición de por si no presupone que sean herramientas para realizar acciones maliciosas, ni involucren alguna clase de intrusión, es decir acceso no autorizado al equipo, el hecho de que se instalen y ejecuten sin nuestro consentimiento, lo convierten automáticamente en malware.

Volviendo al rootkit del sector de arranque, de acuerdo con los informes mencionados antes, el mismo está basado, al menos parcialmente, en otro creado con propósitos de investigación por eEye en 2005, llamado BootRoot (parte del proyecto eEye BootRootKit network kernel backdoor).

Según la información sobre BootRoot, la modificación del sector de arranque del disco con acceso directo al mismo (al nivel de Entrada/Salida del BIOS), puede ser realizado por código del usuario. Es importante hacer notar que el BootRootKit creado por eEye no causa ninguna modificación al sistema, y es solo una demostración que se "engancha" a las funciones de la biblioteca NDIS.SYS de Windows para monitorear los paquetes de red que ingresan.

eEye solo habla de que "es posible modificar el BootRootKit para que reemplace al MBR, pero ello requiere cambios en su código." Pero el BootRoot de eEye no hace eso.

El MBR no es otra cosa que un pequeño programa (en assembler) que el sistema operativo utiliza para iniciarse, y que está presente en el primer sector de las particiones primarias, y en cualquier sector de particiones extendidas de arranque.

El Master Boot Record es cargado automáticamente por el BIOS cuando se inicia el sistema desde el disco duro. Este pequeño programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cuál es la partición preparada para arrancar (booteable), pasar de disco a memoria el sector de arranque de ésta (boot sector), y darle a éste el control para que se ejecute y cargue el sistema operativo.

En una reciente entrada de su blog, el equipo antimalware de Microsoft (Microsoft's Anti-Malware Engineering Team), hace algunas puntualizaciones al respecto de lo publicado en estas semanas sobre este rootkit.

En primer lugar, su instalación requiere modificar el MBR para garantizar que el código malicioso pueda persistir a través de cada reinicio. Para ello, utiliza la API llamada "CreateFile", intentando abrir el dispositivo "\Device\Harddisk0\DR0" para acceso de escritura.

Para utilizar el API CreateFile de esta manera (para acceder de forma directa al disco), se requieren privilegios administrativos, según se menciona en el artículo "INFORMACIÓN: Acceso de unidad directa en Win32", http://support.microsoft.com/kb/100027/es.

De ese modo, quien ha iniciado sesión en Windows como usuario normal, o quienes utilizan Windows Vista con el UAC habilitado (Control de Cuentas de Usuario), incluso si accidentalmente ejecutaran el instalador del rootkit, o si el mismo lo hiciera automáticamente a través de algún exploit o vulnerabilidad, o vía otro malware, lo haría con privilegios insuficientes para modificar el MBR del disco duro, por lo que no sería capaz de persistir al próximo reinicio del sistema.

Según el artículo kb/100027 mencionado antes, para acceder a un disco físico o una unidad lógica a ese nivel utilizando las APIs, se deben tener los derechos adecuados de acceso a la unidad (es decir, el usuario que inició la sesión debe ser un administrador).

Esto hace que la amenaza de este rootkit sea mucho menos exótica de lo que ha escrito mucha prensa. Microsoft también señala que incluso un caso de MBR sucio o corrupto, puede ser resuelto fácilmente si se utiliza la opción "La última configuración buena conocida" del menú de arranque (pulsando F8 al iniciarse la máquina) o desde la consola de recuperación de Windows.

En definitiva, el famoso rootkit de sector de arranque, no es muy diferente a cualquier otro malware, desde el punto de vista de peligrosidad o accesibilidad al sistema para infectarlo, y además, tiene muy pocas probabilidades de mantenerse luego de un reinicio.

Cómo con todo código malicioso, no es bueno tenerlo en una máquina, pero tampoco representa un peligro mayor como algunas publicaciones han aseverado.

ESET NOD32 detecta el rootkit propiamente dicho, como Win32/Agent.DSJ desde la base de firmas 2768 (6/ene/08). Posibles instaladores del código, eran detectados desde octubre del pasado año como variantes del Win32/PSW.Sinowal.


(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director ejecutivo de ESET Uruguay.


Referencias:

Microsoft Anti-Malware Engineering Team
MBR rootkit: VirTool:WinNT/Sinowal.A report
http://tinyurl.com/3ct3wk

INFORMACIÓN: Acceso de unidad directa en Win32
http://support.microsoft.com/kb/100027/es

BootRoot
http://research.eeye.com/html/tools/RT20060801-7.html

Rootkit en el sector de arranque ¿otra vez?
http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200358819&n=2


Relacionados:

Boletín técnico: virus en sectores de arranque
http://www.vsantivirus.com/fdisk-mbr.htm

¿La raíz de todos los males? - Rootkits revelados
http://www.vsantivirus.com/rootkits-revelados.htm








(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2008 Video Soft BBS