miércoles, 15 de octubre de 2008

Mebroot


Poniéndome al día en noticias de seguridad informática que ha habido últimamente, he encontrado esta entrada en Sahw, sobre Mebroot, el primer malware instalado en el Master Boot Record que se ha conocido en mucho mucho tiempo.

Los equipos técnicos de F-Secure y de Symantec han colaborado en la investigación de este malware. Se puede ver una presentación sobre Mebroot realizada en las conferencias Virus Bulletin de este año, con algunos detalles interesantes (aunque me pierdo en la parte más técnica). Por ejemplo, que hubo algunos prototipos de software similar presentados en BlackHat en 2005 ("Bootroot") y en 2007 ("Vbootkit").

Según la propia presentación, es el primer rootkit, que se instala en el MBR, que además incluye un payload realmente malo en sus tripas, permitiendo descargar todo tipo de software malicioso, incluyendo troyanos bancarios. Se menciona Neosploit en la presentación, indicando la evolución de versiones de este paquete con Mebroot, entre Enero y Agosto 2008.

Algunos de sus puntos fuertes:
  • no deja ningún ejecutable en el sistema de ficheros
  • no utiliza ninguna clave del registro de Windows, ni tampoco ninguna manera estándar de lanzar la ejecución de un programa. Utiliza un buen número de funciones de la API de Windows no documentadas.
  • no instala ningún tipo de módulo o driver nuevos en el sistema
  • "huella" mínima en la memoria de la máquina infectada
  • se ejecuta en los primeros estadios del arranque del sistema (está en el MBR)
  • todas las operaciones de lectura y escritura en disco son difícilmente rastreables, también lo son sus comunicaciones por la red (por ejemplo, emplea un buen cifrado en todas estas comunicaciones)
  • es capaz de protegerse frente a soluciones software que intente eliminarlo
Resulta ser así, en palabras de F-secure, la pieza de malware más maligna y más avanzada conocida hasta la fecha, ha tenido un proceso de desarrollo muy cuidadoso y de gran calidad (no "cuelga" ninguna de las máquinas que infecta), y que tiene como principal objetivo las webs de banca online.

Se utiliza la web para distribuirlo, es decir, un usuario se infecta porque ha visitado una sitio web comprometido previamente.

En fin, un nombre que nos deberá sonar, aunque sea sólo como culturilla general informática... porque dará mucho mucho mal.

Slds!

Algo más de información:
Symantec security response

Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...

3 comentarios:

rafavargas dijo...

El malware avanza a pasos agigantados, tanto que esto que leo me deja flipando.

La cuestión es... ¿también funciona en Vista? En ese caso, podríamos decir que el UAC ha fallado completamente.

GigA dijo...

En la presentación se puede ver:

Privileges required for raw disk access:
- 2000/XP, requires Administrative privileges;
- Vista<=RC1, requires Administrative privileges;
- Vista>RC1, raw disk access is blocked by UAC (when enabled);

Entiendo que funciona en Vista siempre y cuando el UAC esté desactivado en el momento de instalación del virus, una vez "alojado" se salta el UAC a la torera, ya que opera antes de arrancar el SO.

Long Time, Des!

des dijo...

Supongo que el UAC, si está activado, evitará que haga ciertas cosas, una vez esté instalado.