La detección y eliminación de los virus informáticos es una tarea muy delicada. Muchas veces este proceso se realiza de forma correcta pero en otras muchas los ciberdelincuenets se encargan de que esto no sea así. Esto es lo que ha sucedido con Nemesis, un malware que al llegar al equipo se aloja en el VBR de los discos duros.
No es la primera vez que nos encontramos con una amenaza de estas características, ya que en otras ocasiones estas se alojaban en el MBR de las unidades de almacenamiento. Esta se ha relacionado con un grupo de hackers que operan desde Rusia, confirmando varios expertos en seguridad que durante mucho tiempo se ha empleado para afectar a comercios y empresas. Sin embargo, los equipos particulares cada vez poseen un mayor atractivo, por este motivo han comenzado a utilizar estemalware.
Utilización de una gran variedad de protocolos para la comunicación con el servidor de control, transferencia de archivos, capturas de pantalla, keylogger o la instalación de puertas traseras con algunas de las funciones más destacables de esta amenaza. Incluso es capaz de inyectar código en los procesos o modificar el comportamiento de estos.
Su instalación en el VBR provoca que esta arranque siempre antes de que Windows se cargue, permitiendo incluso acciones avanzadas a la hora de actualizar el código del malware.
No sirve de nada formatear el ordenador para eliminar Nemesis
Ante este problema son muchos los que optan por el método más tradicional y radical: reinstalar el sistema. De esta forma, en la mayoría de las ocasiones el resultado obtenido es el esperado, dejando el equipo totalmente limpio. Sin embargo, en esta ocasión el resultado es nulo, ya que aunque en un primer momento parezca libre de virus informáticos, la verdad es que una vez instalado al completo el sistema operativo Windows, Nemesis se instala de nuevo e inyecta su código en los procesos del sistema.
La utilización de bootkits cada vez es más habitual y nos tenemos que remontar varios años para encontrarnos con la utilización de una amenaza de este tipo. En RedesZone hemos hablado en varias ocasiones de este tipo de amenazas:
Rombertik, un malware que deja inservible el ordenador
Detectado un virus en Windows que reemplaza el MBR del disco duro
Con respecto a su forma de distribución no existe una certeza de cuál es la vía utilizada, pero muchos creen que la descarga de contenidos en streaming y software a través de páginas web gratuitas puede ser el verdadero origen del problema.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
