Detectan un malware que no se elimina ni siquiera al borrar el disco duro

rootkit
lojax
uefi

#1

Detectan un malware que no se elimina ni siquiera al reinstalar el sistema operativo o borrar el disco duro


LoJax es un nuevo malware detectado que es único en el mundo. A diferencia de otros códigos maliciosos, de este no te puedes deshacer pasando un antivirus o restaurando el ordenador. El malware resiste y vuelve a infectar una y otra vez el equipo, porque vive en la placa base del ordenador.

Según ha publicado la empresa de seguridad ESET, han descubierto un nuevo y poderoso malware llamado LoJax en el ordenador de una de las víctimas afectadas. Pero no lo han encontrado en el sistema operativo o en un archivo en el disco duro como tal, sino en una parte más privada aún del ordenador, en el UEFI.

El UEFI es muy similar a la BIOS, su sucesor de hecho. Pero si tampoco sabes lo que es la BIOS, digamos que el UEFI es el firmware encargado de iniciar el ordenador y todos sus componentes. Es lo primero que se ejecuta al encender el ordenador, y lo que permite poder instalar un sistema operativo en él por ejemplo, ya que enciende y controla todos los componentes.

Pues bien, según ha indicado la firma de seguridad ESET, el malware LoJax lo que hace es que una vez consigue ejecutarse en el ordenador de la víctima modificar la UEFI del mismo. La UEFI es una parte delicada del ordenador y generalmente no se altera. Por lo tanto, también es uno de los lugares menos sospechosos del equipo donde uno espera encontrarse un malware . Una vez está instalado en el UEFI, sólo tiene que desplegarse una y otra vez por el equipo siempre que se reinstale el sistema operativo o se restaure/cambie el disco duro.

Un método teórico hasta ahora reservado para las conferencias de seguridad

Acceder a la UEFI, modificarla y ejecutar desde ahí un malware siempre ha sido más un método teórico que práctico . Según indica ESET, hasta ahora han visto algunos conceptos y pruebas, pero ninguno real y completamente funcional. Tanto es así que los ataques desde la UEFI están más presentes en charlas de seguridad como métodos posibles a futuro que métodos puestos en práctica.

El malware LoJax es destacable por dos razones. La primera de ellas es que demuestra que efectivamente se puede ejecutar y desplegar malware desde la UEFI , por lo tanto puede no ser el único de su categoría en funcionamiento. La segunda de ellas es por el origen de LoJax: un sistema antirrobo llamado justamente LoJack.

Los investigadores han determinado que LoJax es una modificación del software antirrobo LoJack . Este software , para poder rastrear equipos robados se instala en el firmware de la placa base, de este modo aunque los ladrones restauren el ordenador, seguirán pudiendo rastrearlo. Es más, incluso muchos equipos permiten la instalación fácil de LoJack por determinar que es un software “con buenas intenciones”. Ejecutar el malware LoJax parece haber sido sencillo en tal caso.


Deshacerse de un malware (casi) imposible de eliminar

Aunque parezca prácticamente imposible deshacerse de LoJax si un equipo está infectado, lo cierto es que hay formas de hacerlo. La solución más simple y efectiva puede ser tirar el ordenador y destruir a martillzos la placa base. Pero sí no estás dispuesto a eso, ten en cuenta que reinstalar una y otra vez Windows no va a funcionar .


Lo que sí que funciona es instalar un nuevo firmware en la placa base . Modificar el UEFI no es tarea sencilla, pero sí que parece ser el único método real que elimine por completo LoJax. Y por supuesto, añadir un disco duro completamente restaurado previamente.

Fuente: xataka


#2

Si un virus fue capaz de entrar en esa parte delicada, porque ESET no crea un programa con comandos avanzados y inyectarse dentro del uefi eliminando lo que creo el virus y reemplazando el firmware por uno nuevo y sin infección? ESET es muy buen antivirus y compañía, creería que pronto encontraran forma de eliminar este malware, capaz en semanas,días o meses pero bueno.


#3

Pero como se supone que llega hasta ahí, y como se hace para funcionar si estaría algo restringido creo.

Saludos y gracias por la noticia Daniela !


#4

Rayos esto si es grande, gracias por compartir la noticia, pude leer algo más en el informe de ESET, las recomendaciones que dan para protegerse del ataque son algo complicadas para el usuario común, y en caso de infección reinstalar el UEFI me parece algo de gran dificultad, peor aún que seguro que un porcentaje alto de placas base ya no recibe actualizaciones para mí esto junto con los procesadores y sus vulnerabilidades son el gran talón de Aquiles de los equipos de computación. Será que es por descuido, falta de interés o intencionalmente se deja de proporcionar actualizaciones, ¿obsolescencia programada?, ¿vulnerabilidades intencionales? Al parecer este malware va dirigido a empresas y no a usuarios comunes.


#5

Lojax es un rootkit UEFI (Interfaz de firmware extensible unificada) de alto nivel para la realización de espionaje dirigido específicamente a infectar a organizaciones militares y gubernamentales…

La mayoría de los programas Antivirus, se enfocan principalmente en la protección de los sistemas, osea en evitar que este pudiera llegar en primera instancia en infectar a los equipos de una red y los administradores de estas son los que tendrán gran trabajo en caso que se les pudiera colar.

Salu2


#6

Le estás pidiendo a Eset que tenga la capacidad de borrar y carguar las Uefi de todos los fabricantes y que sepa diferenciar todos los modelos de placas del mercado. También le pides que haga el proceso automáticamente y sin errores porque si se equivoca, la máquina no vuelve a prender. Dependiendo del caso puede ser más que complejo recargar la uefi (en otras, las dual, no lo es). Le estás pidiendo mucho.

Justo ocurre esto cuando decretan la muerte del Bios en 2020.

De todos modos esta noticia me resulta menos relevante que el desastre de GOOGLE

Sí señores, google ocultó información :hushed:.

Una vulnerabilidad en Google+ expuso los datos personales de hasta 500.000 usuarios:zipper_mouth_face: entre el año 2015 y marzo de 2018, ha explicado el gigante de Internet en un comunicado que ha sorprendido al no haberse hecho público en su momento la vulnerabilidad y por sus consecuencias que llevan al cierre de la red social para el segmento de consumo:face_with_symbols_over_mouth:.

(…) la compañía no reveló la vulnerabilidad cuando la reparó en marzo ante los “daños reputacionales” y porque no quería que los legisladores la sometieran a un examen normativo .

Resumen: Cierra Google+:laughing:


#7

@Aprenderas

Aun quedan 2 años… Pueden sacar una seguridad para algunos tipos de placa, ellos quieren estar 1ro que todos tambien ¿o no? Si logran poner una seguridad para las uefi de algunas placas ya cumplirán y estaran delante de otros antivirus que aun no pudieron hacerlo.


#8

Con la cantidad de rastros que se dejan los antivirus actuales para los malware , realmente no creo que sea una solucion factible. Lo mejor es evitar el daño a eliminarlo en estos casos. Creo recordar que es fácil de evitar colocando contraseña a la BIOS, aunque seguramente en un futuro logren saltarse los sistemas de seguridad.


#9

Vamos, que “imposible” de eliminar no lo es, con bajar el firmware y flashear nuevamente la placa base ya sacas este virus., aunque no sea tan sencillo. Ya hay canales en YouTube, diciendo que es un virus “imposible” de eliminar, y hablan sin saber, y eso que sus canales son de computación,software etc…


#10

Lamentablemente el firmware de los equipos viene siendo el eslabón más débil de la cadena, infectando los dispositivos, usb, o los routers ahora la Uefi. Dadas estas circunstancias sería genial una guía de como reinstalar la Uefi.


#11

:upside_down_face: No creo que una organización militar o gubernamental que es a donde esta enfocado el rootkit Lojax, vaya a venir a un foro a buscar la solución… y si lo hacen estamos jodidos! :stuck_out_tongue_winking_eye:

Lo mas importante antes infecciones de este alto nivel es la prevención. No luego pensar en la eliminación, ya que si este logro colarse al menos un día, les saldría mas barato y seguro prender fuego esos equipos directamente. :fire:

Salu2


#12

Estamos hablando mucho, sin siquiera contradecirnos. Sin discutir nada. Estamos todos de acuerdo en lo primordial. 1- El virus es evitable. 2- El virus es difícil de contraer. 3- Los sistemas actuales de Uefi son más fácil de borrar que los bios… lo que no significa que sea una tarea sencilla para cualquier persona. 4- También hay modelos que facilitan las cosas y otros más económicos que las dificultan.

En la parte en que NO estoy de acuerdo contigo, es en Eset (ni sé por qué los nombramos, pese a su capacidad para matar malware, tampoco son los que tienen la mayor tecnología…antes nombraría a Kas). Tampoco veo coherente escanear por virus sobre una Uefi…que va ser borrada. Sería lo mismo que Limpiar y desinfectar un windows para luego formatearlo. Pero insisto en este punto, si siempre recomendamos que a la hora de flashear una uefi se haga desde las líneas Dos de las utilidades y no desde el sistema, porque estos no son tan estables e introducen un sin fin de variables …¿que aportaría eset más que unas cuantas variables nuevas que podrían arrojar errores en el proceso? Por ende, la solución va ser siempre manual. Querés flashear la UEFI, prepará tu pendrive, seguí las recomendaciones del fabricante y te aseguro que el margen de error es pequeño comparado con cualquier otra parafernalia. Comparado con la época de desoldar chip- soldar a reprogramador- desoldar del programador- soladar a mother de nuevo… la actualidad parece un juego de niños. Aunque estas bios sí que eran difíciles de corromper, eh?


#13

2 posts fueron trasladados a un nuevo tema: Puntos suspensivos en programas (WindowsXP)


#14

Un post fue trasladado al siguiente tema: Puntos suspensivos en programas (WindowsXP)