Bootkit

¿Qué es un Bootkit?

Es una nueva clase de malware denominada como la evolución del rootkit convencional que ataca a todas las versiones de Windows desde 2000 hasta la reciente Server 2008 y Windows 7 (32 y 64 bits), sumando funciones más complejas como la capacidad de infectar el “Master Boot Record“.
Un Bootkit se aloja en el MBR (Master Boot Record), que es el encargado de informarle al sistema operativo qué archivo se deberá cargar en el inicio del proceso de arranque, permitiendo así iniciar u ocultar otros malwares antes de que se cargue el mismo sistema operativo.
Una vez que un Bootkit infecta una máquina, puede permanecer totalmente oculto e inactivo sin mostrar absolutamente ningún síntoma en el equipo, pasando así desapercibido tanto para los programas Antivirus / Antirootkits, como también para el mismo usuario.



Normalmente, el ataque de un bootkit comienza con una vulnerabilidad en el sistema operativo o en el software instalado en el equipo. El usuario visita una website, ésta sondea el ordenador y si encuentra un punto débil, va a por él. Más concretamente: un archivo se carga en el equipo y comienza la infección.
Posteriormente, el bootkit se escribe a sí mismo en el sector de arranque y mueve el contenido original del MBR a un espacio protegido en el disco duro y lo cifra. A partir de ese momento, cada vez que se enciende el ordenador, el bootkit carga en la memoria sus módulos, que contienen payloads maliciosos (como un troyano bancario) y otros programas para ocultarse como un rootkit. Éste último es necesario para esconder el hecho que el equipo está infectado; reconoce cuando el sistema operativo u otras aplicaciones (inclusive un antivirus) comprueban el sector de arranque y simplemente saca el contenido original del MBR que estaba almacenado en el lugar protegido, como si nada hubiese pasado.
Puede parecer que la única manera de eliminar este malware sería arrancar el equipo desde otro disco que tenga un sistema operativo limpio y un buen antivirus. Ésta es una opción. Pero nosotros hemos desarrollado una tecnología que ayuda en la lucha contra los bootkits sin necesidad de cirugía alguna, curando el ordenador por completo.
Todos nuestro productos -corporativo o personales- poseen un emulador de arranque. Al igual que nuestro emulador para el sistema operativo o navegador, crea un entorno artificial que imita el proceso de arranque del equipo. El bootkit piensa que tiene que entrar en acción y comienza su proceso… entonces, nos abalanzamos sobre él. Se envía el objeto sospechoso a nuestros analistas de virus a través del servicio en la nube, KSN; actualizando nuestra base de datos. Luego, todo es cuestión de tecnología: el antivirus descifra el sector de arranque original, elimina el bootkit y todos sus módulos y restablece el sistema. De todos modos, si sois demasiado impacientes, se puede curar el equipo con la herramienta KVRT.
Los bootkits eran una de las cepas de virus más populares: como el virus DOS, Brain.