Gestores de arranque maliciosos

Los cibercriminales siempre están buscando nuevas formas de infectar los sistemas y pasar desapercibidos el mayor tiempo posible. Su creatividad no tiene límites, como demuestra la nueva ola de cargadores de gestores de arranque (boot loaders) maliciosos. Los primeros han sido troyanos bancarios brasileños que intentan eliminar los programas de seguridad del sistema.

Este método de infección no tradicional sólo afecta los sistemas que usan ntldr, el gestor de arranque predeterminado en Windows NT y hasta Windows XP y Windows Server 2003. No escogieron esto por casualidad – XP sigue siendo el sistema operativo más popular en varios países, incluyendo Brasil, donde casi el 47% de los ordenadores lo tienen instalado.

Un pequeño archivo malicioso de 10 KB, detectado como Trojan-Downloader.Win32.VB.aoff, propagado por correo electrónico comienza la infección. Descarga en el sistema dos archivos nuevos alojados en Amazon WS Cloud – xp-msantivirus (1,83 MB) y xp-msclean (7,4 MB) – cambia el nombre del ntldr legítimo a ntldr.old y por último instala un nuevo archivo para que sea un nuevo administrador de arranque malicioso, una versión editada de GRUB diseñada para ejecutar el archivo menu.lst:

El gestor de arranque malicioso llamado ntldr: una copia modificada de GRUB

Con el tiempo el archivo menu.lst será responsable de llamar al archivo xp-msantivirus en el arranque:

Contenido del archivo menú.lst. El mensaje dice: “Iniciando Microsoft Malicious Software Removal Tool”

Los archivos xp-msantivirus y xp-msclean son imágenes de arranque *nix preparadas especialmente por los criminales para eliminar algunos archivos de seguridad durante el arranque. No es ninguna sorpresa que los blancos principales sean archivos que pertenecen a un complemento de seguridad muy popular que usan los bancos brasileños llamado GBPlugin, instalado en alrededor de 23 millones de ordenadores. El gestor de arranque malicioso también intenta eliminar los archivos de Microsoft Security Essentials, Windows Defender y otros:

Cuando completa la infección, el troyano obliga al sistema a reiniciarse…

“Windows Update está reiniciando tu sistema para completar la instalación de Actualizaciones de Seguridad Críticas”

…y todos los cambios entran en vigencia. El gestor de arranque malicioso muestra algunos mensajes falsos, que dicen ser de Microsoft Malicious Software Removal Tool:

“Malicious Software Removal Tool (KB890830) No apague ni desconecte el equipo hasta que se complete este proceso”

Para justificar el largo tiempo que toma el arranque, se muestra otro mensaje que dice que el sistema está infectado y se están eliminando “archivos infectados”:

“Por favor espere mientras se realiza la operación. No apague o reinicie su equipo. ATENCIÓN: se encontraron archivos infectados con virus en su equipo. Se ha iniciado el proceso para eliminar el virus. Este proceso puede tardar un poco, dependiendo de la cantidad de archivos infectados que se encuentren. No apague o reinicie su equipo durante este proceso, espere a que se complete y su ordenador se reiniciará de forma automática”.

Por último, cuando termina el proceso de arranque, el gestor de arranque malicioso se elimina a sí mismo y muestra el ntldr limpio como activo. Su misión está cumplida, y un troyano bancario detectado como Trojan-Downloader.Win32.Banload.bqmv queda funcionando en el ordenador infectado y está listo para robar las credenciales bancarias de Internet.

Por supuesto, todos estos cambios nocivos en el sistema se llevan a cabo con la ayuda de muchos otros factores, como ejecutar un sistema operativo desde una cuenta de administrador, etc. Kaspersky Antivirus detecta el gestor de arranque malicioso como Trojan.Boot.Burg.a.

Gracias a mi colega Vyacheslav Zakorzhevsky por su ayuda