El fantasma del sector de arranque

Si cantas junto a mí, mi gran poder.

Influjo sobre ti, podrá crecer

(с) Andrew Lloyd Webber – El Fantasma de la Ópera

En la batalla entre el malware y la tecnología antimalware, existe una lucha incesante para saber quién es el rey.

Las reglas son simples: el ganador es aquél que se carga primero en la memoria del ordenador, controla los “niveles” y se protege frente a otras aplicaciones. Una vez en la torre del castillo, puede otear tranquilamente y salvaguardar el orden del sistema (si es un programa malicioso, por el contrario, intentará pasar desapercibido para causar el caos).

En resumen… el ganador tomará el control sobre el ordenador.

Las  aplicaciones de un equipo esperan a arrancar después de que comience (como su nombre indica) el sector de arranque o MBR. Éste es una sección especial del disco duro donde se almacenan las instrucciones sobre cuándo, dónde y qué tiene que arrancar. Y ¡lo peor de todo! El sistema operativo también entra en esta lista. Ahora entenderéis por qué los cibercriminales siempre han tenido un interés especial por este sector, ya que es la forma perfecta para sortear los obstáculos y ocultar que el ordenador está infectado. ¿Qué malware les ayuda en esta tarea? Los bootkits, por supuesto.

Cómo arranca un ordenador

loading_comp_en

Si queréis saber qué son los bootkits y cómo podéis protegeros frente a ellos, seguid leyendo…

A mediados de la década de los años 80, los bootkits eran una de las cepas de virus más populares: como el virus DOS, Brain. No obstante, los cazadores de virus aprendieron a tratar con ellos rápidamente; así que los desarrolladores de malware perdieron el interés en este programa malicioso y siguieron buscando otras vías más efectivas (¡para ellos!) como los macro virus para MS Office y los gusanos de Internet.

Los bootkits volvieron a la palestra a finales del 2007, cuando apareció una nueva versión del troyano- spyware Sinowal, capaz de infectar el sector de arranque. Este malware pilló por sorpresa a muchas compañías antivirus porque pensaban que era algo del pasado (finales de los 90) y algunos productos no podían proteger el MBR.

Aunque no se pueden considerar a los bootkits una epidemia mundial, nuestros estudios revelan que siguen estando presentes. Y no podemos olvidarnos que el mundo informático siempre se guarda un as en la manga…

Pero si los bootkits son tan astutos e indetectables, os preguntaréis por qué no están más generalizados. ¿Es necesario preocuparnos por ellos y desarrollar una protección específica?

En primer lugar, estimamos que el número de equipos, a escala mundial, infectados con este programa malicioso ronda los 10 millones; una cantidad pequeña que representa un problema limitado.

En segundo lugar, este método se suele utilizar en ataques dirigidos y patrocinados por gobiernos, como, por ejemple, el FinSpy. Estaréis de acuerdo conmigo en que convertirse en una víctima de una ciberguerra no es plato de buen gusto para nadie.

Y por último, crear un bootkit requiere un conocimiento profundo de programación que no poseen todos los cibercriminales. Este malware es astuto e indetectable, pero no invencible. Aunque protegernos frente a él no es precisamente fácil… nosotros lo hemos conseguido y os enseñamos cómo…

Infecciones por Bootkit, 2013

(según los datos de los usuarios de productos de Kaspersky Lab)

bootkit-infection-statistics-map

Antes de nada, os explicaré el ciclo de vida de un bootkit.

Normalmente, el ataque de un bootkit comienza con una vulnerabilidad en el sistema operativo o en el software instalado en el equipo. El usuario visita una website, ésta sondea el ordenador y si encuentra un punto débil, va a por él. Más concretamente: un archivo se carga en el equipo y comienza la infección.

Posteriormente, el bootkit se escribe a sí mismo en el sector de arranque y mueve el contenido original del MBR a un espacio protegido en el disco duro y lo cifra. A partir de ese momento, cada vez que se enciende el ordenador, el bootkit carga en la memoria sus módulos, que contienen payloads maliciosos (como un troyano bancario) y otros programas para ocultarse como un rootkit. Éste último es necesario para esconder el hecho que el equipo está infectado; reconoce cuando el sistema operativo u otras aplicaciones (inclusive un antivirus) comprueban el sector de arranque y simplemente saca el contenido original del MBR que estaba almacenado en el lugar protegido, como si nada hubiese pasado.

Puede parecer que la única manera de eliminar este malware sería arrancar el equipo desde otro disco que tenga un sistema operativo limpio y un buen antivirus. Ésta es una opción. Pero nosotros hemos desarrollado una tecnología que ayuda en la lucha contra los bootkits sin necesidad de cirugía alguna, curando el ordenador por completo.

Todos nuestro productos -corporativo o personales- poseen un emulador de arranque. Al igual que nuestro emulador para el sistema operativo o navegador, crea un entorno artificial que imita el proceso de arranque del equipo. El bootkit piensa que tiene que entrar en acción y comienza su proceso… entonces, nos abalanzamos sobre él. Se envía el objeto sospechoso a nuestros analistas de virus a través del servicio en la nube, KSN; actualizando nuestra base de datos. Luego, todo es cuestión de tecnología: el antivirus descifra el sector de arranque original, elimina el bootkit y todos sus módulos y restablece el sistema. De todos modos, si sois demasiado impacientes, se puede curar el equipo con la herramienta KVRT.

Lo mejor de esta tecnología es que nos ayuda a protegernos frente a bootkits desconocidos.

Primero, usamos un análisis heurístico local y detectamos la actividad sospechosa durante la emulación del arranque. Luego, usamos el servicio en la nube KSN, el cual utiliza métodos estadísticos para detectar las anomalías producidas por un bootkit.

Al igual que cualquier otro emulador, el arranque virtual del ordenador es un proceso que necesita muchos recursos del equipo. Entonces, ¿por que se realizan, frecuentemente, análisis profundos del sector de arranque? Tenemos la solución: es posible programar el análisis del MBR (por ejemplo por la noche) o hacerlo cuando no utilizamos el ordenador. ¡El trabajo está hecho y todo el mundo contento!

emulator_check_en

¿Qué más?

Sin duda alguna, los bootkis seguirán evolucionando y cada vez serán más avanzados. Un ejemplo al respecto es el malware polimórfico XPAJ, que rodea incluso la función de seguridad más reciente de Windows, ocultando su bootkit. Además, también tenemos los bioskits que llegan incluso a un nivel más profundo del sistema…

De todos modos, este tipo de malware sigue siendo una opción para un número reducido de cibercriminales, los cuales apenas llaman la atención y permanecen en la sombra.

Por este motivo, muchos productos antivirus simplemente se han olvidado de este programa malicioso. A continuación, os enseñamos la prueba: los resultados de un test comparativo reciente vuestra que muchos productos no fueron capaces de detectar los bootkits. Aunque esto suene desalentador, sigue habiendo luz al final del túnel…

table_AV_EN

Mientras tanto, en Kaspersky Lab seguimos trabajando. Estamos pensando, inventando, detectando, curando… y por supuesto, salvando al mundo.

LEER COMENTARIOS 2
Comentarios 2 Deja una nota

    Mario Martinez Martínez

    Que puedo hacer, cada vez que inicio mi portàtil, el antivirus kaspersky 2014 en automático inicia a cargarse, como si lo estuviera instalando de nuevo, (NO lo hacia antes) después solo me deja efectuar el análisis rápido, cuando intento efectuar el análisis completo solo logra llegar hasta el 28 o 29% máximo y se pone la pantalla en azul y aparece un mensaje de Windows diciendo que se ha cerrado Windows por seguridad debido a un error, stop ox0000007a. a mi licencia le quedan alrededor de 6 meses, tienen alguna sugerencia técnica que funcione para volver a usar mi ordenador como antes. saludos cordiales MMM.

    Alberto Sánchez

    Hola Mario, puedes ponerte en contacto con nuestros compañeros de soporte técnico tanto por teléfono http://www.kaspersky.es/support/tech_support/support-home-users como a través de tu Cuenta Kaspersky https://my.kaspersky.com/?logonSessionData=MyAccount&returnUrl=sp%2Fsupport%2Fhelpdesk. Recuerda que también puedes seguir nuestros consejos de seguridad en nuestro blog: http://blog.kaspersky.es/ Un saludo!

Deja una nota