Los cibercriminales dejan el MBR y vuelcan su interés hacia el NTFS

Es cada vez más común que los cibercriminales modifiquen las partes del disco duro que ayudan a realizar la carga inicial del sistema. Los cibercriminales han pasado de sólo modificar el MBR (master boot record) a infectar el código del cargador NTFS (New Technology File System).

Hace poco descubrimos un malware interesante: Cidox. Lo peculiar de este programa es que infecta el código de carga de la partición de arranque del disco duro.

El archivo Trojan-Dropper.Win32.Cidox tiene “a bordo” dos rootkits de driver (Rootkit.Win32/Win64.Cidox). Uno está dirigido a plataformas de 32 bits, el otro a plataformas de 64 bits.

El componente fuente de Cidox realiza las siguientes modificaciones al principio del disco duro:

• Guarda los drivers en sectores vacíos al principio del disco duro;
• Elije la sección marcada como la partición de arranque en la tabla de partición del MBR para realizar la infección. Es importante recalcar que sólo infecta particiones dentro del sistema de archivos NTFS.
• Escribe parte de su código en Extended NTFS IPL (Initial Program Loader), que es responsable de analizar sintácticamente la MFT (Master File Table), buscar el archivo que tiene el cargador en el directorio raíz de la sección (ntldr — pre-Vista, bootmgr — Vista+), leer este archivo del disco y transferirle el control. Además, el contenido original de Extended NTFS IPL está codificado, guardado e incluido al final del código malicioso.

Fragmento del dominio inicial del disco duro infectado por Cidox
(detectado como Rootkit.Boot.Cidox)

La próxima vez que arranque el sistema, se invocará al código malicioso en el área de carga. Se puede cargar el driver malicioso en el sistema con la ayuda de una técnica conocida, usando la interrupción Int 13h y aprovechando algunas características de Windows Kernel. El driver cargado utiliza PsSetCreateProcessNotifyRoutine para controlar la ejecución de los siguientes procesos:

• svchost.exe
• iexplore.exe
• firefox.exe
• opera.exe
• chrome.exe

Fragmento de Rootkit.Win32.Cidox, que contiene cadenas de caracteres con los nombres de los navegadores que controla.

Si detecta que se está ejecutando alguno de los procesos de arriba, se agrega un componente más de Cidox: una biblioteca dinámica (Trojan.Win32.Cidox). Esta biblioteca modifica cualquier mensaje del navegador, substituyéndolo por uno propio. Como resultado, el usuario ve una ventana del navegador que pide que se lo renueve para neutralizar algunos programas maliciosos que supuestamente se encontraron en el sistema. El ejemplo de abajo muestra cómo se pide al usuario que renueve el navegador debido a una infección de Trojan.Win32.Ddox.ci.

Fragmento de una ventana de navegación en un sistema infectado por Cidox.

Como era de suponer, los cibercriminales piden al usuario que pague por la “renovación”. Para hacerlo, debe enviar un SMS a un número corto.
Se utiliza un diseño de página específico para cada uno de los navegadores más populares.

A unique page design is used for each of the most popular browsers.

Fragmento de una ventana de navegación en un sistema infectado por Cidox.

Hay que recalcar que se pueden descargar gratis las nuevas versiones de los navegadores desde su sitio web oficial. Los cibercriminales sólo están tratando de asustar a los usuarios para robarles dinero.