Cuando pensábamos que los códigos maliciosos que afectaban al sector de arranque (a partir de ahora MBR) de nuestro ordenador pertenecían al pasado, nos ha sorprendido la detección reciente de uno de ellos. Concretamente es un rootkit que afecta a sistemas operativos Windows y que se oculta en el MBR del disco duro, justo donde se almacenan las entradas de la partición primaria de su tabla de particiones.
El rootkit sobrescribe el MBR original, haciendo muy difícil su detección. Por suerte, el porcentaje de sistemas infectados es bastante bajo, especialmente si los usuarios tienen instalados todos los parches de seguridad de Windows.
La primera detección de este código malicioso fue informada a mediados del pasado mes de diciembre siguiendo activo en el momento de escribir esta nota.
Este rootkit parece estar basado en dos pruebas de concepto de rootkits con capacidad de ofuscación. Dichas pruebas fueron presentadas en sendas conferencias de seguridad informática y en principio afectaban a sistemas Windows NT y Vista. La infección ocurre cuando el usuario visita una página web infectada que contiene un iframe enlazado a un servidor que alberga varios exploits. El sistema del usuario se infectará si es vulnerable a cualquiera de los siguientes exploits:
• Microsoft JVM ByteVerify (MS03-011)
• Microsoft MDAC (MS06-014)
• Microsoft Internet Explorer Vector Markup Language (MS06-055)
• Microsoft XML CoreServices (MS06-071)
ESET NOD32 Antivirus detecta, gracias a su tecnologia Antistealth, este rootkit con el nombre Sinowal.nbj por lo que nuestros usuarios pueden estar tranquilos. Aun así volvemos a recalcar la importancia de mantener el sistema actualizado, aplicando todos los parches y actualizaciones de seguridad, tanto del sistema como de los programas instalados.
Josep Albors