Los investigadores de seguridad de la empresa vietnamita Bkav han descubierto un interesante nuevo virus que se protege contra las soluciones antivirus congelando el disco duro.
Una vez que infecte un dispositivo, el virus crea una especie de punto de restauración. Todas las modificaciones realizadas en el sistema por el usuario – incluyendo edición de documentos, copias de archivos y descargas de datos desde la web – serán eliminadas. Se borrarán todos los archivos copiados recientemente.
La amenaza también cambia el icono del disco duro.
Además, el virus infiltra varios módulos ejecutables en el ordenador infectado. Cada uno de estos módulos cumple un propósito diferente.
Por ejemplo, el módulo Wininite está diseñado para comunicarse con dos servidores de comando y control. Uno se encuentra en China y otro en los Estados Unidos.
Otro módulo, DiskFlt, es responsable de congelar el disco duro. Para hacer esto, el componente de malware crea un dispositivo que controla la lectura y grabación de datos en el disco.
"DiskFlt también crea un área de memoria caché de datos. Cuando el usuario tiene operaciones de lectura/escritura de datos en el disco, DiskFlt crea una copia de esa área de datos y la pone en el área de memoria caché. Después de este punto, todas las operaciones de lectura/escritura serán redireccionadas a la zona de memoria caché, lo que hace que el usuario no pueda cambiar los datos del disco original", señalan los expertos Bkav.
PassThru es el módulo del controlador de red que bloquea o redirige ciertos sitios web, y Black.dll es el componente que ayuda al virus a propagarse.
"Obviamente, este virus puede ser considerado un rootkit aunque tiene un mecanismo de autoprotección especial. En lugar de prevenir contraataques a los módulos del virus como un rootkit normal, este nuevo tipo previene los cambios en todo el disco", añadieron los expertos.
http://news.softpedia.es/Nuevo-virus-se-protege-contra-los-antivirus-congelando-el-disco-duro-384163.html