Bootkit 2009

Kaspersky Lab ha presentado “Bootkit 2009”, un artículo analítico que surge de una nueva modificación del programa malicioso más peligroso del año pasado, Backdoor.Win32.Sinowal.

La nueva versión del bootkit, identificado a finales de marzo de 2009, se distribuye a través de sitios comprometidos, fuentes pornográficas y sitios donde se puede descargar software pirata. Casi todos lo servidores que forman parte del proceso de infección tienen una conexión con el lenguaje ruso: trabajan dentro del Framework de supuestos programas de Partners, en cuyos sitios los propietarios trabajan con los autores de códigos maliciosos.

El bootkit, al igual que antes, utiliza un método basado en la infección del MBR con el fin de cargar su driver antes de que el sistema operativo inicie. En comparación con variantes previas, esta versión del rootkit usa una tecnología más avanzada para esconder su presencia en el sistema. El código del controlador también ha sido modificado significativamente y la mayoría de las funciones clave, que instalan anzuelos para algunas funciones del sistema operativo, han sido metamorfoseadas. Esto complica de forma importante el proceso de análisis del código malicioso.

El trabajo de la modificación más reciente del bookit demuestra la necesidad de mejorar las tecnologías antivirus actuales, que son capaces de combatir efectivamente no sólo los intentos de infectar ordenadores, sino de detectar complejas amenazas que trabajan a los niveles más profundos del sistema operativo.

El artículo está disponible en www.viruslist.com/sp. Los analistas de Kaspersky Lab ya dieron detalles de una versión previa del bookit durante el año pasado en Malware Evolution: January-March 2008 y en un artículo titulado Bootkit: el desafío de 2008.

El artículo puede ser reproducido, mencionando el autor, el nombre de la compañía y la fuente original. La reproducción de este material en artículos re-escritos requiere el consentimiento previo del departamento de comunicación de Kaspersky Lab.