{"id":304,"date":"2015-07-14T17:40:04","date_gmt":"2015-07-14T17:40:07","guid":{"rendered":"https:\/\/109d9password-hacker-grande-960x623.jpg"},"modified":"2015-07-16T13:39:55","modified_gmt":"2015-07-16T19:39:55","slug":"malware-de-hacking-team-persiste-en-el-pc-aunque-se-reinstale-el-sistema-operativo","status":"publish","type":"post","link":"https:\/\/emanuelpaxtian.com\/blog\/malware-de-hacking-team-persiste-en-el-pc-aunque-se-reinstale-el-sistema-operativo\/","title":{"rendered":"Malware de Hacking Team persiste en el PC aunque se reinstale el sistema operativo"},"content":{"rendered":"<p>A\u00fan as\u00ed se formatee el disco duro o se compre uno nuevo, el malware que afecta a sistemas operativos Windows se conserva en el BIOS.<\/p>\n<p>Luego del inesperado ataque a Hacking Team y el filtrado de 400GB de informaci\u00f3n, se descubri\u00f3 informaci\u00f3n en una presentaci\u00f3n sobre un rootkit que puede instalarse en el BIOS de una computadora Windows con UEFI, el cual resiste a la reinstalaci\u00f3n del sistema operativo e incluso al reemplazo del disco duro.<\/p>\n<p>Ni siquiera formatear sirve para deshacerse del malware que instala el agente Sistema de Control Remoto (RCS, por sus siglas en ingl\u00e9s), prove\u00eddo por Hacking Team para ser utilizado por los gobiernos, ya que el \u00fanico medio confirmado para instalarse es con acceso f\u00edsico a la computadora, pero no se descarta que pueda ser instalado remotamente, seg\u00fan informa la compa\u00f1\u00eda de seguridad Trend Micro.<\/p>\n<p>Como cada fabricante utiliza un BIOS diferente, la t\u00e9cnica y el producto son exclusivos. Por un lado, el rootkit funciona para los BIOS prove\u00eddos por Insyde BIOS, uno de los principales proveedores, ya que entre sus clientes figuran Acer, Dell, HP, Lenovo y Toshiba, de acuerdo con PC World. Adem\u00e1s, el rootkit tambi\u00e9n funciona con BIOS producidos por American Megatrends, con sede en Estados Unidos.<\/p>\n<p>La instalaci\u00f3n del rootkit se realiza de la siguiente manera:<\/p>\n<p>Se reinicia la computadora en la capa UEFI del BIOS.<br \/>\nSe extrae el firmware del BIOS.<br \/>\nSe instala el rootkit en el firmware.<br \/>\nSe reinstala el firmware del BIOS con el rootkit.<br \/>\nPara la instalaci\u00f3n se requieren tres m\u00f3dulos, los cuales son obtenidos mediante una fuente externa, como una memoria USB. Uno de ellos (Ntfs.mod) permite la lectura y escritura en el NTFS; uno m\u00e1s (Rkloader.mod) para engancharse durante el arranque del sistema; y por \u00faltimo otro (dropper.mod) que se encarga de revisar que el rootkit est\u00e9 instalado.<\/p>\n<p>El uso de t\u00e9cnicas para infectar sistemas BIOS con UEFI no es nuevo, ya que Hacking Team estuvo investigando por a\u00f1os un m\u00e9todo para lograrlo, hasta que en 2014 logr\u00f3 su cometido y hasta ahora el malware ha sido descubierto. Adem\u00e1s, siendo los gobiernos sus principales clientes, al tener acceso a las computadoras personales podr\u00edan haber instalado el malware sin que se supiera.<\/p>\n<p>Para evitar infecciones, los expertos de seguridad de Trend Micro recomiendan asegurarse de que Secure Flash de UEFI est\u00e9 activado, actualizar el BIOS mediante una herramienta prove\u00edda por el fabricante de la computadora y establecer una contrase\u00f1a para acceder al BIOS. Por otra parte, tambi\u00e9n es posible usar BIOS f\u00edsicos con protecci\u00f3n contra escritura.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A\u00fan as\u00ed se formatee el disco duro o se compre uno nuevo, el malware que afecta a sistemas operativos Windows se conserva en el BIOS. Luego del inesperado ataque a&hellip;<\/p>\n","protected":false},"author":1,"featured_media":308,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-304","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"_links":{"self":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts\/304","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/comments?post=304"}],"version-history":[{"count":0,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts\/304\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/media\/308"}],"wp:attachment":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/media?parent=304"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/categories?post=304"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/tags?post=304"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}