¿El virus definitivo? Ni formateando ni cambiando el disco duro puedes eliminarlo

Virus

En los últimos tiempos se ha disparado la presencia de malware en general, abundando el ransomware y otro tipo de amenazas por encima de todo. En la inmensa mayoría de los casos tenemos soluciones disponibles para acabar con ellas, pero es posible que ahora mismo hayamos conocido el virus definitivo. En este caso, hablamos de LoJax, un rootkit UEFI, que es prácticamente indetectable y, lo peor de todo, es que es capaz de seguir activo en el equipo, aunque formateemos el disco duro.

Nuestros compañeros de RedesZone nos ponen sobre la pista de este nuevo malware que puede resistir un formateo e incluso un cambio de disco duro. Como hemos dicho, hablamos de LoJax, un rootkit UEFI. En este caso, un rootkit UEFI es un tipo de malware especial del que no hemos oído hablar demasiado, pero que, en lugar de infectar el sistema operativo, infecta la UEFI de los ordenadores. (¿Qué diferencias hay entre el viejo BIOS y la nueva UEFI?).

LoJax, un rootkit UEFI imposible de eliminar ni formateando el disco duro

Por ello, al no instalarse en el sistema operativo, los antivirus no son capaces de detectarlo ya que no analizan la UEFI de los ordenadores de forma habitual. Además, esto hace que no sirva de nada cambiar el disco duro o formatearlo, ya que el malware no está alojado ahí.

disco duro

Este rootkit es uno de los más peligrosos del momento y ha sido desarrollado por el grupo de piratas informáticos APT28 uno de los más temidos del mundo. Ellos han sido los responsables de mucho del malware aparecido en los últimos tiempos, pero también de varios ataques a grandes empresas.

LoJax fue detectado el pasado mes de mayo, aunque no hemos sabido mucho al respecto hasta ahora. Se sabe que se está esparciendo por Europa. Eso sí, se desconoce cómo es capaz de propagarse por Internet al no haberse detectado ninguna muestra.

El rootkit cuenta con una serie de archivos binarios que son los que recopilan información sobre el hardware y son capaces de parchear la UEFI con el código malicioso. Una vez infectados, los atacantes tienen acceso total al sistema con más privilegios incluso que el propio Windows al infectar en tiempo real la memoria del sistema.

Escrito por Claudio Valero

Fuente > redeszone

Continúa leyendo
  • Usuario Indignado

    No se por donde empezar a corregir las chorradas que tiene el artículo …
    Si se trata de un rootkit UEFI, EVIDENTEMENTE no lo puedes eliminar formateando el disco duro o cambiandolo … PORQUE NO ESTÁ en el disco duro, está en la UEFI, es como si te cortas un dedo y vas a que te venden la pierna.
    En cuanto a la persistencia tras el arranque del sistema, tengo mis muy importantes dudas, la UEFI no es más que un mini-sistema operativo para arrancar el equipo y que deja de estar operativa tras el inicio del sistema operativo principal. Si es verdad, que hay partes de la UEFI que persisten, para ser usadas por el SO, pero veo complicado que el virus siga activo tras el arranque del SO principal, habría que echarle un ojo al código.

    • Guillermo Ferrer Bosque

      El problema no es que este en la UEFI. Sino cuando UEFI cede el control al SO, tambien le cede todo lo que ha cargado UEFI en memoria. Mirate el esquema es bastante sencillo.

      • Angel Amaro

        Si tienes una copia (backup) de la UEFI, se puede sobreescribir utilizando un simple arranque con penDrive (yo ya lo he hecho varias veces, no por virus sino por otras causas) ; una vez arreglada la UEFI lo demás es fácil : no hace falta formatear el disco duro, basta con restaurar con una imagen del sistema de restauración creada previamente. No existe ninguna amenaza que no se pueda eliminar, llevo casi 30 años con ordenadores (desde el MS-DOS) y ya he visto de todo..

        • Torrita

          Hay un pequeño problema en eso que comentas y es que el software de UEFI también se carga antes que el boot por USB.

          • Usuario Indignado

            Lo que da exactamente igual, porque desde que pones la UEFI en modo actualización, el ‘virus’ no puede hacer nada.
            A parte de los sistemas con doble-uefi, la proteción del acceso en modo escritura a la UEFI, ya sea por jumper o que si el código no está firmado, no se acepta para actualizar …
            ¡Vamos, que el vector de ataque del rootkit este, necesita a un zoquete entre el teclado y la silla! … como la mayoría de los virus y troyanos, dicho sea de paso.

          • Angel Amaro

            Ya lo ha dicho el compañero, se me ha adelantado : mi placa Gigabyte X99 Gaming 7 WIFI tiene doble UEFI, y una de ellas es intocable, solo está ahí para recuperar la otra en un caso como este., puede que no tenga la versión más actualizada, pero una vez restaurada el sistema arrancará sin problemas y ahí es donde puedes actualizarla a la última versión., después quitar el virus es fácil.
            A mi el ordenador ya me ha hecho algunas putadas pero siempre he solucionado lo que fuese., algunas veces he tenido que buscar video tutoriales de ayuda en Google, no se me cae ningún anillo por reconocerlo..

        • Guillermo Ferrer Bosque

          Haber yo solo he hablado de que técnicamente es posible. Me he mirado un poco más en profundizar este caso. En este ataque una vez instalado no infecta la USB. Aún así se podría ya que si aprovechas la vulnerabilidad BadUSB o modificar el sector de arranque del USB. Esto a la práctica sería complicado de narices porque UEFI tendría que tener fallos de seguridad al realizar la carga. Aunque no dudo que hayan.

          En el pasado ya se hizo un ataque similar pero en cambio de UEFI utilizaron el firmware de discos.

          • Paleolinguista

            Es “a ver”, no “haber”.

    • wingilot

      Noticia de última hora, la enfermedad definitiva es la gangrena de pierna, si te cortas un brazo no se cura!!! XD

      • anom7

        Buen símil! Si es que es para reirse de lo obvio que es la parida que han soltado y parece que no se dan cuenta.

        Y encima dicen “formateando o cambiando el disco duro”… Vamos a ver, con decir simplemente cambiar el disco duro de descarta la opción de formatear… Vaya manera de rellenar el titular. En serio a veces me creo que están informando a gente sin experiencia en informática.

  • JBenito69

    Esto con la BIOS no pasaba. A lo sumo podías hacer un reset de la placa y fuera.

    • MrBrutico

      Esto pasa por hacer BIOS privativas y no de código libre hechas por la comunidad

      • Jajaajaj si fuera libre te puedo asegurar al 100% que el rootkits fuera peor de lo q es este y de paso más difícil.. deberias de saberlo muy y sobre todo el por que..

        • MrBrutico

          Seria lo contrario…. sino que se lo digan a los sistemas operativos GNU/linux. Mil ojos corrigen mas fallos que cuatro empleados en una empresa

          • Me estas dando la razón y esos a estas alturas ya se sabe q GNU/linux es lo más vulnerable en el mundo la diferencia es q como tiene toda una comunidad a nivel mundial le parchean todo rapido en comparacion a lo privativo, pero eso no quita ni deja de ser el más vulnerable y de fácil y no fácil control en el mundo informático.. Y no me extrañaría la verdad q llegue un futuro donde la comunidad no podrá realizar nada.. La Skynet está muy cerca…xD

  • Sergio Van Dyk

    Chingo a su madre el antivirus :v

  • Syaoran O’Hanrahan

    En las mobo con dual BIOS no bastaría con cambiar el jumper para usar la BIOS secundaria? O afecta a ambas ?

    • javier ortiz quintela

      Buena pregunta la 2 bios en teoria esta aislada de la primera pero… Al poner el puente con los discos y las mem igual tambien la infectas

  • Victor Sanchez

    El mejor antivirus usar linux.

    • javier ortiz quintela

      Error el mejor antivirus es usar el sentido comun

  • Fox Belmont

    Creo exagera mucho esta nota, primero un virus por ejemplo diseñado para Windows 10 afectará toda computadora con Windows 10, mientras que un supuesto virus en la UEFI sería solo para modelos específicos de tarjeta madre y podrán violar una o algunas cuantas pero no todas con la consecuencia de que habrá modelos raros de tarjeta madre o poco vendidos que no interesarán como para hacerles un UEFI modificado y además en estos días muchos usuarios caen fácil con ventanas de dale clic y te vuelves millonario o dale clic para ver la nueva película y lo hacen, pero quiero ver esos usuarios reiniciando sus equipos y flasheando nuevas UEFI, porque no todas soportan instalar desde Windows y las que soportan, necesitan programas específicos que analizan previamente la UEFI y si no es compatible simplemente no la flasheara, quizás en un panorama como un modelo de Apple del que venden millones de un mismo modelo o quizás un modelo de pc que sea muy popular aunque la verdad se me hace más fácil en Apple que en pc, a y la solución es sencilla y hasta fácil que formatear o cambiar un disco duro a una computadora y es flashear la UEFI correspondiente al modelo de tarjeta madre y se acabo el virus más peligroso del mundo a y misma historia si fuera una bios, porque UEFI solo es una evolución de la bios.

    • mexbond

      Además de que desde tiempos inmemoriales ya había virus para la bios, es decir, ese “temido” virus, al menos la modalidad, ya existia hace mas de 15 años.

  • ccartola

    APT28, known as Fancy Bear. Está asociada con la agencia de inteligencia militar rusa GRU o Departamento Central de Inteligencia rusa. Están patrocinados por el gobierno ruso pues. Normalmente sus objetivos son Gobiernos. El resto son “daños colaterales”.

    Un poco de historia ayuda a entender quiénes son y qué pretenden.

  • Jaime

    Jaja estaba claro. El arranque UEFI tiene un objetivo, y no es el de mayor rapidez o seguridad, sino el de negar la instalación de una distribución Linux. Ale comérselo.