Peligro!!!!!!

Detectan varios troyanos que utilizan una nueva forma de ataques con rootkits



PandaLabs, el laboratorio de detección y análisis de malware de Panda
Security, ha detectado la aparición de troyanos que incluyen rootkits
(MBRtool.A, MBRtool.B, MBRtool.C, etc.) diseñados para suplantar el
master boot record (MBR), el primer sector o sector cero del disco
duro, por uno propio. Esto supone una auténtica novedad en la
utilización de rootkits, ya que hacen aún más difícil la detección de
los códigos maliciosos a los que van asociados.



"Este sistema de ataque hace que sea prácticamente imposible
detectar el rootkit y los códigos maliciosos a los que oculta una vez
que se han instalado en el equipo, utilizando soluciones de seguridad
tradicionales", afirma Luis Corrons, Director Técnico de PandaLabs, que
añade: "la única defensa sería detectar la presencia de estos rootkits
antes de que entren en el ordenador. Además, y en previsión de códigos
maliciosos desconocidos similares que puedan aparecer, es necesario
utilizar tecnologías proactivas capaces de detectar amenazas sin
necesidad de conocerlas con anterioridad".



El propósito de los rootkits en el campo de la ciber-delincuencia
es ocultar la acción de los ejemplares de malware, dificultando así su
detección. Hasta ahora, los rootkits se instalaban dentro de algún
proceso del sistema, pero los nuevos ejemplares que PandaLabs ha
localizado se instalan en una parte del disco duro que se activa antes
que el propio sistema operativo.



Cuando uno de estos nuevos rootkits es ejecutado en un sistema,
realiza una copia del MBR existente, al tiempo que modifica el original
con instrucciones maliciosas. Con ello consigue que si se intenta
acceder al MBR, en lugar de al falso, el rootkit lo redirigirá al
verdadero, evitando que el usuario o las aplicaciones vean algo
sospechoso.



Debido a estas modificaciones, cuando el usuario encienda el
ordenador, se cargará el MBR modificado, antes de cargar el sistema
operativo. En ese momento, el rootkit ejecutará el resto de su código
con lo que conseguirá quedar totalmente oculto tanto él como los
códigos maliciosos asociados al mismo.



Hasta ahora, los rootkits enmascaraban extensiones o procesos, pero
estos nuevos ejemplares pueden engañar directamente al sistema. Su
emplazamiento provoca que el usuario no observe ninguna anomalía en
ningún proceso del sistema, puesto que el rootkit cargado en memoria
estará vigilando todos los accesos al disco, para hacer invisible al
sistema cualquier tipo de malware al que vaya sido asociado.



Los usuarios deben extremar las precauciones ante este nuevo tipo
de amenaza. Por ello, es conveniente que no ejecuten ningún archivo de
procedencia desconocida que les llegue por correo electrónico,
mensajería instantánea u otros medios.



Para eliminar el código malicioso, el usuario que ya haya sido
infectado deberá arrancar el ordenador con un CD de arranque para así
no ejecutar el MBR. A continuación, deberá restaurar éste con
utilidades como fixmbr de la consola de recuperación de Windows, cuando
la infección se produce con este sistema operativo instalado.



"Estos rootkits también podrían utilizarse para afectar a otras
plataformas como Linux, ya que se ejecutan antes que el MBR, por lo que
su acción es independiente del sistema operativo que tenga instalado el
usuario", concluye Luis Corrons.



PD:Cuidado con este troyano , tengan cuidado por donde navegan y que descargan.

Gracias por avisar men,, hay que tener cuidado con lo que descargamos!!