20 abril 2011

Nuevo Rootkit ataca el sector de arranque (Rookit.Win32.Fisp.a)

Desde hace unos días podemos leer en determinados blogs, artículos que advierten de que un rootkit de origen chino está siendo diseminado por la red. Los laboratorios Kaspersky lo identifican como Rookit.Win32.Fisp.a.

Esta vez la propagación se da a través de un vídeo colgado en una falsa web de porno china. Según lo publicado, una vez ejecutado el malware sustituye el sector de arranque por una versión modificada. Cuando se reinicia el dispositivo, el proceso troyano toma control del dispositivo y finalmente vuelve a escribir la versión original del MBR, del cual previamente ha hecho un backup.

Otra de las técnicas que incorpora es una búsqueda de procesos relativos a antivirus, para ello dispone de una lista de cadenas que emplea para dicha búsqueda. Si detecta la presencia de algún proceso relacionado intenta detenerlo. 

La lista de cadena que incorpora es la siguiente:

Beike, Beijing Rising Information Technology, AVG Technologies, Trend Micro, BITDEFENDER LLC, Symantec Corporation, Kaspersky Lab, ESET, spol, Beijing Jiangmin, Kingsoft Software, 360.cn, Keniu Network Technology (Beijing) Co, Qizhi Software (beijing) Co.

Hasta donde hemos podido conocer, se utiliza la típica técnica de recopilación de información del ordenador, y posterior envío de dicha información mediante una petición HTTP con la siguiente estructura:

http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=none&g=none&k=a&h=62&i=2&j=0321-01

Donde podemos ver que se están enviando al servidor de la botnet datos como pueden ser la versión del Sistema Operativo, la dirección IP en la red interna, etc. 

Determinadas fuentes relacionan el rootkit con el robo de credenciales de juegos online, si bien en los informes que hasta la fecha se han publicado no se presentan evidencias de que el troyano intercepte peticiones para robar credenciales, haga búsquedas en ficheros o cualquier otro tipo de actividad dañina para los usuarios infectados.

Una limitación a la hora de remover el troyano del sistema es el hecho de que éste controla el sistema operativo antes de cargar el motor antivirus en memoria, lo cual dificulta las tareas de detección y eliminación.

[+] Referencias
The Chinese bootkit (Securelist.com)

--------------------------

Contribución gracias a Sergi Roselló León
sergirosello.com

7 comments :

Madrikeka dijo...

"Determinadas fuentes relacionan el rootkit con el robo de credenciales de juegos online" Por qué todo va contra mi WoW??!!

Muy interesante lo de este bichillo....como me llame algún colega diciéndome que tiene un bicho muy gordo......creo que me voy a reir....:D

Pero eso sí, este sería interesante de eliminar........que este tipo de malware que tocan el MBR no se quitarlos!!

fossie dijo...

Si que es curioso el bichito pero no me ha quedado clara una cosa. Primero sustituye el MBR por un código propio para tener el control y ¿luego vuelve a restaurar la copia original del MBR? ¿se desinstala el mismo?

SiD dijo...

Entiendo que al restaurar el MBR, la carga vírica ya se ha instalado "correctamente" donde tiene que estar ;P

fossie dijo...

Si pero si el MBR ya esta limpio pues se trata de un virus "normal" y ya es posible eliminarlo con cualquier antivirus ya que al siguiente reinicio cargará el sistema operativo limpio y luego cargara el antivirus y después el virus.

Se supone que el virus finaliza los antivirus cuando este esta en ejecución pero si el virus se ejecuta después de la carga del antivirus no veo que problema puede existir. Además, al no estar en el MBR podremos arrancar windows limpio sin cargar todos los procesos y pasar un antivirus desde CD, USB, etc.

SiD dijo...

Que el MBR vuelva a ser el original no significa que el S.O. esté limpio antes de cargar el antivirus.

Ya dijo...

yo entiendo por lo que he leído que lo que hace es devover el mbr original a los procesos que l demandan, que es distinto ;-)

Joven dijo...

"Una limitación a la hora de remover el troyano del sistema" # REMOVER??, no seáis jóvenes!, buscad la def en la RAE, hóvenes!