| |||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es |
RootKits : No sólo hay los de ficheros, sino los BOOTROOT de MBR y ahora los STHEALTHMBR
Una de las más temibles plagas actuales son los RootKits, entendiéndose como RootKit a aquella aplicación o conjunto de aplicaciones diseñadas para ocultar objetos tales como procesos, archivos o entradas del Registro de Windows.
Este tipo de tecnología es utilizada en ficheros como es el caso del virus Bagle (de los que cada día recibimos nuevas variantes, y que pasamos a controlar con las nuevas versiones del ELIBAGLA), pero actualmente se están detectando casos de infección de MBR (Master Boot Record), como el ya conocido BOOTROOT y variantes como el SINOWAL, pero los de última generación son los STEALTHMBR, tal como los identifica McAfee en:
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=143908
de los cuales ya hemos tenido incidencias, y ofrecemos aquí el método de desinfección, aprovechando las herramientas de Microsoft.
Simplemente se ha de arrancar con el CDROM de instalación y seleccionar R para acceder a la CONSOLA DE RECUPERACION.
Una vez desde allí ejecutar :
MBRFIX /DRIVE 0 FIXMBR
para el primer disco duro y si se tiene otra unidad:
MBRFIX /DRIVE 1 FIXMBR
Para mas información sobre MBRFIX:
http://support.microsoft.com/kb/307654
Al iniciar el sistema en modo de consola de recuperación el MBR no estará protegido, ni por el propio sistema ni por el RootKit ya que no estará cargado, y se podrá eliminar perfectamente.
Si en la consola de recuperación no se tiene acceso al MBRFIX, puede descargarse del siguiente enlace:
http://www.sysint.no/en/Download.aspx
copiarse en C:\windows\ (C:\Winnt\ para W2000) y ejecutar:
MBRFIX / DRIVE 0 FIXMBR / YES
La razón por la que se debe iniciar el sistema desde el CD ROM de instalación es debido a que de esta forma no se carga el RootKit y por tanto no está gobernando el sistema, otra solución seria instalar el disco duro como segunda unidad de otro equipo y ejecutar el MBRFIX /DRIVE 1 FIXMBR / YES o la unidad que este ocupe si es que dispone de más disco duros.
Pueden disponer de más información técnica en el Blog de McAfee Avert, donde se ha publicado información sobre esta nueva tecnología:
http://www.avertlabs.com/research/blog/index.php/2008/03/23/exploring-stealthmbr-defenses/
SATINFO,
SERVICIO
DE ASISTENCIA TÉCNICA INFORMATICA
27 de Marzo de 2008