Conecta con nosotros

Noticias

Cidox, rootkit que infecta el bootloader NTFS

Publicado el

Cidox, rootkit que infecta el bootloader NTFS 53

Cidox, rootkit que infecta el bootloader NTFS 55

Investigadores de seguridad de Kaspersky Lab han identificado nuevo malware que escribe código malicioso en el bootloader NTFS. La amenaza ha sido bautizada como Cidox, y hace gala de dos drivers rootkit, uno para Windows 32 bits y otro para Windows 64 bits.

MS Recomienda

Aprende a realizar streaming de vídeo de forma eficaz Leer
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

Como parte de la rutina de infección, Cidox determina qué versión de sistema operativo se utiliza y copia el driver correspondiente en los sectores vacíos del comienzo de la unidad. Sólo infecta particiones NTFS y determina la activa echando un ojo en el MBR. Después procede a reemplazar el código Extended NTFS IPL (Initial Program Loader). El original queda cifrado y salvado.

Este comportamiento forma parte de una técnica especial que aprovecha las características kernel de Windows para cargar drivers maliciosos en el sistema. El driver en cuestión interactúa con procesos como svchost.exe, iexplore.exe, firefox.exe, opera.exe y chrome.exe a través de una DLL especial.

En palabras de Vyacheslav Zakorzhevsky de Kaspersky:

«Esta librería modifica cualquier salida del navegador, sustituyéndola por la suya propia. Como resultado, el usuario ve una ventana del incitándole a actualizar el navegador debido a programas maliciosos detectados en el sistema

Esta amenaza es, efectivamente, scareware ya que pide al usuario mandar un SMS a un número premium para renovar su navegador. Aparece de manera bastante convincente con páginas personalizadas para cada navegador con imágenes de las webs originales. Por el momento ha sido detectado sólo en Rusia.

Lo más leído