Un bootkit es un virus capaz de penetrar un Sistema Windows con sus parches respectivos y ser cargado en el kernel, llega a tener acceso ilimitado en el computador. También es capaz de penetrar un disco encriptado ya que el Master Boot Record no es encriptado. De esta manera el driver infectado se carga al inicio del Sistema Operativo. Esto es un punto debil del MBR que el virus usara para controlar el sistema. Por esta vulnerabilidad nadie esta seguro

Este tipo de amenaza puede vulnerar:

• Windows XP, Windows Server 2003, Windows Vista, Windows 7 con un solo MBR.
• la encriptacion de disco por TrueCrypt.

Propagación

En este momento, el bootkit se propaga mediante sitios craqueados, de pornografía y sitios de software pirata. Casi todos los servidores que participan en el proceso de infectar al usuario, tienen indicios de usar la lengua rusa: funcionan en el marco de los así llamados programas de partners, que son esquemas de interacción entre los propietarios de los sitios y los autores de los programas nocivos. Estas estructuras de partners son muy populares en el espacio cibernético ruso y ucraniano.

Entre la nuevas tecnologías que usan está el mecanismo de creación del nombre de dominio que se asigna al sitio desde donde se difundirán los exploits.

Cuando un usuario visita una página web infectada, en su equipo empieza a ejecutarse un script que, basándose en la fecha establecida en el ordenador genera el nombre de sitio al que se remitirá al usuario para recibir su exploit personal.

Aqui se muestra parte del script de generación del nombre del sitio con los exploits, después de haber sido descifrada

Esta tecnología hace que sea prácticamente imposible utilizar el método clásico de las listas negras para bloquear el acceso a los sitios con los exploits. Sin embargo, los investigadores tienen la posibilidad de analizar el algoritmo de generación de los nombres, averiguar cuales de ellos serán usados y bloquearlos.

El script incrustado en las páginas web infectadas, además de la generación del nombre de dominio y dependiendo de la fecha en curso, crea también un fichero de cookies válido durante 7 días. Su propósito es evitar que el navegador abra por segunda vez la página con el Neosploit en caso de que el usuario visite la página web varias veces. El script comprueba la presencia del fichero cookies y si éste está presente y su periodo de validez no ha caducado, no genera el nombre de dominio y no se remite al usuario al Neosploit.

Uso de tecnologia de los rootkits

Los bootkits siguen usando un método basado en la infección del MBR para ejecutar su driver durante el inicio del sistema operativo. El driver se usa para evitar la detección y el tratamiento del sector de inicio infectado. Las primeras versiones interceptaban los procedimientos IRP del objeto \Driver\Disk, pero como las tecnologías de lucha contra los programas maliciosos tampoco dejan de desarrollarse, los creadores de virus se vieron obligados a hacer grandes cambios en su algoritmo de funcionamiento. La variante actual del rootkit usa una tecnología más avanzada que la de la versión anterior para ocultar su presencia en el sistema. En este momento ninguno de los rootkits conocidos usa los métodos descritos a continuación.

Al iniciarse el driver malicioso se constata la presencia de un depurador activo. Si está presente, el rootkit no oculta el MBR infectado y no revela de ninguna manera su presencia en el sistema.

Para convertirse en prácticamente invisible, el rootkit reemplaza el indicador de tipo del dispositivo. Este tipo es una estructura distribuida en la cual el driver malicioso sustituye el indicador de función (ParseProcedure).

Imagen de Instalación del interceptor de función para suplantar el MBR

En caso de que el programa antivirus quiera obtener acceso de bajo nivel al disco físico, se hará una llamada a la función suplantada. A su vez, en esta última se interceptará el procedimiento IRP de un driver de nivel aún más bajo que \Driver\Disk y de la función que se llame al cerrar el disco abierto anteriormente. Tan pronto como se cierre el disco, todas las intercepciones volverán a su estado anterior.

Driver ATAP de bajo nivel del sistema infectado

Merece una mención especial el código del driver, que ha sufrido cambios sustanciales durante este tiempo. La mayoría de las funciones clave que instalan los interceptores de las funciones del sistema operativo son interceptores que cambian de forma, lo que complica el procedimiento de análisis del código malicioso.

Ejemplo cifrado de la función de intercepción