Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/07/2011
Cidox, rootkit que infecta el bootloader NTFS
Investigadors de seguretat de Kaspersky Lab han identificat un nou malware, el qual escriu codi maliciós en el bootloader NTFS. L'amenaça ha estat batejada com Cidox, i fa gala de dos drivers rootkit, un per a Windows 32 bits i un altre per a Windows 64 bits.
Com a part de la rutina d'infecció, Cidox determina quina versió de sistema operatiu s'utilitza i còpia el driver corresponent en els sectors buits del començament de la unitat. Només infecta particions NTFS i determina l'activa veient el MBR. Després procedeix a reemplaçar el codi Extended NTFS IPL (Initial Program Loader). L'original queda xifrat i salvat.
Aquest comportament forma part d'una tècnica especial que aprofita les característiques del nucli de Windows, per a carregar drivers maliciosos en el sistema. El driver en qüestió interactua amb processos com svchost.exe, iexplore.exe, firefox.exe, opera.exe i chrome.exe, a través d'una DLL especial.
En paraules de Vyacheslav Zakorzhevsky de Kaspersky:
«Aquesta llibreria modifica qualsevol eixida del navegador, substituint-la per la seua pròpia. Com a resultat, l'usuari veu una finestra que l’incita a actualitzar el navegador a causa de programes maliciosos detectats en el sistema.»
Aquesta amenaça és, efectivament, scareware, ja que demana a l'usuari enviar un SMS a un número premium per a renovar el seu navegador. Apareix de manera prou convincent amb pàgines personalitzades per a cada navegador amb imatges de les webs originals. De moment ha estat detectat només a Rússia.