Kaspersky Lab presenta el artículo de análisis "Los bootkits: el desafío de 2008", dedicado a una de las amenazas más recientes contra la seguridad informática: una botnet basada en un bootkit
Kaspersky Lab, líder en el desarrollo de sistemas de protección contra programas nocivos e indeseables, ataques de hacker y spam, presenta el artículo de análisis "Los bootkits: el desafío de 2008", dedicado a una de las amenazas más recientes contra la seguridad informática: una botnet basada en un bootkit.
El desarrollo del MalWare 2.0 crea una serie de problemas a la industria antivirus. Uno de los más importantes es que los antivirus tradicionales que usan sólo métodos de firmas o heurísticos para analizar ficheros son incapaces de hacer frente a los ataques de MalWare 2.0, y esto sin mencionar que tampoco pueden curar los sistemas infectados por estos nuevos programas.
Los bootkits fueron un gran paso tecnológico en la industria de la creación de virus, pero ahora además cuenta con potentes instrumentos de difusión y capacidad para funcionar como parte de una botnet. Para infectar los equipos, los delincuentes han usado un método poco común para incluir enlaces en los sitios web. Los enlaces de hipertexto originales se han sustituido por enlaces nocivos. Para que el equipo se infecte, no basta con que el usuario visite la página del sitio adulterado, sino que también debe pulsar el enlace sustituido. Una vez que el usuario pulsa el enlace, el servidor procesa la solicitud entrante y obtiene información sobre el usuario. Después, al usuario se le asigna un identificador único que se almacena en el servidor.
Después de cargarse en el sistema, el programa troyano-dropper se ejecuta con la ayuda del programa vulnerable, extrae de su cuerpo el instalador del bootkit y le transfiere el ID único del usuario. Posteriormente, el programa introduce modificaciones en el sector de arranque del disco duro y graba el cuerpo del programa nocivo en los sectores del disco. Si todas estas acciones en el sistema se realizan con éxito, el dropper le da al equipo la orden de reiniciarse. Después del reinicio, el bootkit intercepta una serie de funciones del sistema y empieza a funcionar a toda máquina en el sistema.
La historia del bootkit refleja una las principales amenazas a la seguridad informática de los usuarios. Sin ninguna excepción, todos los métodos y tecnologías que hemos analizado son utilizados activamente por los delincuentes en la mayoría de los programas nocivos. La infección mediante navegador Internet, las tecnologías rootkit, las botnets, el robo de datos de los usuarios, la criptografía, la resistencia a los programas antivirus… ya habíamos tenido que vérnoslas con cada una de ellas por separado, pero en la historia del bootkit estaban todas juntas.
Entre los medios de protección contra estas complejas amenazas, podemos mencionar: antivirus web, filtrado del tráfico, analizadores de comportamientos, "máquinas virtuales", sistemas de análisis de tráfico de red y cortafuegos. El incidente con la botnet ha demostrado que un antivirus moderno debe tener funciones que le permitan enfrentarse no sólo a los rootkits, sino también a sus encarnaciones en forma de bootits.
La versión completa del artículo está a su disposición en el sitio informativo y analítico Viruslist.com, y la versión resumida en la sala de lectura del sitio corporativo de Kaspersky Lab.
Kaspersky Lab no se opone a la publicación de estos artículos en otros medios, pero deben mencionarse el autor, nuestra compañía y el vínculo al artículo original. Para publicar textos basados en nuestros artículos es necesario consultarlo con el departamento de relaciones públicas de Kaspersky Lab.
