Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/07/2011
Cidox, rootkit que infecta el bootloader NTFS
Investigadores de seguridad de Kaspersky Lab han identificado nuevo malware que escribe código malicioso en el bootloader NTFS. La amenaza ha sido bautizada como Cidox, y hace gala de dos drivers rootkit, uno para Windows 32 bits y otro para Windows 64 bits.
Como parte de la rutina de infección, Cidox determina qué versión de sistema operativo se utiliza y copia el driver correspondiente en los sectores vacíos del comienzo de la unidad. Sólo infecta particiones NTFS y determina la activa echando un ojo en el MBR. Después procede a reemplazar el código Extended NTFS IPL (Initial Program Loader). El original queda cifrado y salvado.
Este comportamiento forma parte de una técnica especial que aprovecha las características kernel de Windows para cargar drivers maliciosos en el sistema. El driver en cuestión interactúa con procesos como svchost.exe, iexplore.exe, firefox.exe, opera.exe y chrome.exe a través de una DLL especial.
En palabras de Vyacheslav Zakorzhevsky de Kaspersky:
“Esta librería modifica cualquier salida del navegador, sustituyéndola por la suya propia. Como resultado, el usuario ve una ventana del incitándole a actualizar el navegador debido a programas maliciosos detectados en el sistema.”
Esta amenaza es, efectivamente, scareware ya que pide al usuario mandar un SMS a un número premium para renovar su navegador. Aparece de manera bastante convincente con páginas personalizadas para cada navegador con imágenes de las webs originales. Por el momento ha sido detectado sólo en Rusia.