NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

RootKits : No sólo hay los de ficheros, sino los BOOTROOT de MBR y ahora los STHEALTHMBR

 

Una de las más temibles plagas actuales son los RootKits, entendiéndose como RootKit a aquella aplicación o conjunto de aplicaciones diseñadas para ocultar objetos tales como procesos, archivos o entradas del Registro de Windows.

Este tipo de tecnología es utilizada en ficheros como es el caso del virus Bagle (de los que cada día recibimos nuevas variantes, y que pasamos a controlar con las nuevas versiones del ELIBAGLA), pero actualmente se están detectando casos de infección de MBR (Master Boot Record), como el ya conocido BOOTROOT y variantes como el SINOWAL, pero los de última generación son los STEALTHMBR, tal como los identifica McAfee en:

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=143908

de los cuales ya hemos tenido incidencias, y ofrecemos aquí el método de desinfección, aprovechando las herramientas de Microsoft.

Simplemente se ha de arrancar con el CDROM de instalación y seleccionar R para acceder a la CONSOLA DE RECUPERACION.

Una vez desde allí ejecutar :

para el primer disco duro y si se tiene otra unidad:

Para mas información sobre MBRFIX:

http://support.microsoft.com/kb/307654

Al iniciar el sistema en modo de consola de recuperación el MBR no estará protegido, ni por el propio sistema ni por el RootKit ya que no estará cargado, y se podrá eliminar perfectamente.

Si en la consola de recuperación no se tiene acceso al MBRFIX, puede descargarse del siguiente enlace:

http://www.sysint.no/en/Download.aspx

copiarse en C:\windows\  (C:\Winnt\ para W2000)  y ejecutar:

MBRFIX / DRIVE 0 FIXMBR / YES

La razón por la que se debe iniciar el sistema desde el CD ROM de instalación es debido a que de esta forma no se carga el RootKit y por tanto no está gobernando el sistema, otra solución seria instalar el disco duro como segunda unidad de otro equipo y ejecutar el MBRFIX  /DRIVE 1 FIXMBR / YES o la unidad que este ocupe si es que dispone de más disco duros.

Pueden disponer de más información técnica en el Blog de McAfee Avert, donde se ha publicado información sobre esta nueva tecnología:

http://www.avertlabs.com/research/blog/index.php/2008/01/24/new-wine-in-a-old-bottle-stealthmbr-rootkit/

http://www.avertlabs.com/research/blog/index.php/2008/03/19/stealthmbr-rootkit-enhances-its-capabilities/

http://www.avertlabs.com/research/blog/index.php/2008/03/23/exploring-stealthmbr-defenses/


SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA    27 de Marzo de 2008

 

Anterior