Stealthy Rootkit se desliza más por debajo del radar

Miles de sitios web tienen han sido manipulados para ofrecer una poderosa pieza de software malicioso que muchos productos de seguridad pueden no estar preparados para manejar.

El software malicioso es una nueva variante de Mebroot, un programa conocido como "rootkit" por la manera furtiva en que se esconde en el fondo El sistema operativo Windows, dijo Jacques Erasmus, director de investigación de la compañía de seguridad Prevx.

Una versión anterior de Mebroot, que es lo que Symantec llamó, apareció por primera vez alrededor de diciembre de 2007 y utilizó una técnica bien conocida para mantenerse oculto. Infecta el Registro de inicio maestro (MBR) de una computadora. Es el primer código que busca una computadora cuando arranca el sistema operativo después de que se ejecuta el BIOS.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Si el MBR está bajo el control de un hacker, también lo está la totalidad la computadora y cualquier dato que esté en ella o que se transmita a través de Internet, dijo Erasmus.

Desde que apareció Mebroot, los proveedores de seguridad han refinado su software para detectarlo. Pero la última versión usa técnicas mucho más sofisticadas para mantenerse ocultas, dijo Erasmus.

Mebroot REPLACEa enganches de programa en varias funciones del kernel, o en el código central del sistema operativo. Una vez que Mebroot se ha establecido, el malware hace que parezca que el MBR no ha sido manipulado.

"Cuando algo está tratando de escanear el MBR, muestra un MBR perfectamente atractivo para cualquier software de seguridad", dijo. dicho.

Luego, cada vez que se inicia la computadora, Mebroot se inyecta en un proceso de Windows en la memoria, como svc.host. Dado que está en la memoria, significa que no hay nada escrito en el disco duro, otra técnica evasiva, dijo Erasmus.

Mebroot puede robar cualquier información que quiera y enviarla a un servidor remoto a través de HTTP. Las herramientas de análisis de red como Wireshark no notarán los datos que se filtran debido a que Mebroot esconde el tráfico, dijo Erasmus.

Prevx vio la nueva variante de Mebroot después de que uno de los clientes consumidores de la compañía se infectó. Los analistas tardaron unos días en determinar exactamente cómo Mebroot lograba integrarse en el sistema operativo. "Creo que todos en este momento están trabajando en la modificación de sus motores [antimalware] para encontrarlo", dijo Erasmus.

Y esas empresas necesitan actuar rápido. Erasmus dijo que parece que miles de sitios web han sido pirateados para entregar Mebroot a computadoras vulnerables que no tienen los parches adecuados para sus navegadores web.

El mecanismo de infección se conoce como una descarga directa. Ocurre cuando una persona visita un sitio web legítimo que ha sido pirateado. Una vez en el sitio, un iframe invisible se carga con un marco de explotación que comienza a probarse para ver si el navegador tiene una vulnerabilidad. Si es así, Mebroot es entregado, y el usuario no nota nada.

"Ahora es bastante salvaje", dijo Erasmus. "Donde sea que vayas, tienes la posibilidad de estar infectado".

No se sabe quién escribió Mebroot, pero parece que uno de los objetivos de los piratas informáticos es simplemente infectar tantas computadoras como sea posible, dijo Erasmus.

Prevx tiene un producto de seguridad autodenominado especializado que funciona junto con un software antivirus para detectar vulnerabilidades de explorador drive-by, robo de contraseñas, rootkits y software antivirus rogue.

Prevx lanzó la versión 3.0 de su producto el miércoles. El software detectará infecciones de malware de forma gratuita, pero los usuarios deben actualizar para obtener la funcionalidad de eliminación completa. Sin embargo, Prevx 3.0 eliminará algunos de los software maliciosos más maliciosos, incluido Mebroot, así como cualquier software de publicidad, conocido como adware, sin cargo, dijo Erasmus.