El nuevo malware para PC se carga antes que Windows, es prácticamente imposible de detectar

A recién revelado El malware que ha estado en uso desde al menos principios de este año se ha denominado 'bootkit' por su capacidad para infectar una computadora en el nivel más fundamental, ejecutándose cuando la computadora arranca para cargar realmente antes de el sistema operativo en sí. Es parte del extenso paquete de malware 'Nemesis' y, aunque actualmente está dirigido a instituciones financieras, la inclusión de la funcionalidad de bootkit en una solución relativamente de 'mercado masivo' significa que la poderosa forma de infiltración cibernética está llegando a una gama mucho más amplia de víctimas. .

El problema es que, dado que un bootkit puede cargarse en programas de malware antes de que Windows se cargue, los procesos de Windows tienen dificultades para identificar la actividad maliciosa y aún más difícil para eliminarla. La reinstalación completa del sistema operativo no lo hará; esto es más bien como los ataques de la NSA que pueden resistir incluso un formato total de la unidad, pero hasta donde sabemos, en su mayoría, al menos requieren la infiltración de hardware del objetivo. En este caso, este virus puramente software puede instalarse detrás de los ojos de su computadora y, por lo tanto, nunca será visto.

bootkit 2



Apodado BOOTRASH por los investigadores de seguridad, el malware funciona infectando el Master Boot Record (MBR), que contiene información básica sobre las particiones en un disco duro y algo de código básico sobre cómo inicializar la partición primaria. Nemesis se instala en el espacio vacío entre las particiones y BOOTRASH lo inyecta en los procesos de Windows que aún se están cargando cuando se ejecuta al iniciar el sistema. Hasta cierto punto, Windows toma esta colección inicial de código en ejecución como el evangelio: ¿cómo podría ser ya malo, incluso antes de que el sistema operativo haya hecho algo?

La única forma de extraer un kit de arranque de su computadora con un escáner de virus sería realizar un escaneo masivo del contenido del disco sin procesar, en lugar de escanear la actividad a medida que ocurre. Eso es algo increíblemente agotador, especialmente para los grandes servidores en red que pueden tener enormes cantidades de almacenamiento en el que esconderse, y hacer la búsqueda en sí mismo le quita recursos y tiempo de computación a su negocio principal. La mayoría de los programas de detección de virus generalmente no verifican el registro de Windows o el sistema de archivos virtual creado por BOOTRASH para almacenarse; estos ataques requieren un enfoque completamente nuevo de contramedidas digitales.

Las centrifugadoras nucleares iraníes apuntadas por STUXNET.

Las centrifugadoras nucleares iraníes apuntadas por STUXNET.

Curiosamente, los creadores de Nemesis parecen haber incorporado una opción de desinstalación que restaurará el proceso de arranque original. No eliminará el código de Nemesis ni deshará el extraño sistema de archivos que se crea en su espacio de disco supuestamente no utilizado, pero evitará que Nemesis entre en acción al arrancar. Nadie sabe por qué los atacantes pueden querer la opción de relajarse de esta manera, pero la capacidad de implementar el llamado 'ransomware' es una posibilidad real.

Recuerde que los bootkits no deben limitarse a los bancos y las transacciones con tarjetas de crédito. Los bootkits son básicamente versiones técnicamente más avanzadas de rootkits, que por supuesto han sido utilizados por todos desde Sony a (probablemente) el Gobierno de los Estados Unidos. Los bootkits ofrecen mucha más durabilidad para el atacante, pero también destruyen cualquier capacidad de reclamar inocencia. tal vez afirman que un rootkit se instaló de buena fe, pero un bootkit está diseñado específicamente para engañar al usuario. Cualquier empresa no criminal que instale un bootkit corre un gran riesgo financiero si se entera.

Aún así, vale la pena señalar que una computadora no puede resultar dañada por un malware que nunca encuentra. Estos pueden ser superbugs cibernéticos súper avanzados, pero es casi seguro que llegaron a los sistemas de destino con las mismas técnicas que todo el malware anterior: investigación básica y trucos personales en forma de mensajes personales de spear-phishing por correo electrónico o redes sociales. Es esencial que la industria de la seguridad invente tecnologías más nuevas y mejores para contrarrestar las de los delincuentes, pero la inversión en educación y buenas prácticas en línea podría ser una mejor idea para las corporaciones, dólar por dólar.

Copyright © Todos Los Derechos Reservados | 2007es.com