Bootkit (del inglés boot - download y kit - un conjunto de herramientas) es un programa malicioso (el llamado rootkit MBR ) que modifica el sector de arranque MBR ( Master Boot Record ), el primer sector físico del disco duro. (Un representante muy conocido es Backdoor.Win32.Sinowal ).
Utilizado por el malware para obtener los máximos privilegios en los sistemas operativos. El bootkit puede obtener derechos de administrador (superusuario) y realizar cualquier acción maliciosa. Por ejemplo, puede cargar en la memoria una biblioteca dinámica especial que no existe en absoluto en el disco . Una biblioteca de este tipo es muy difícil de detectar con los métodos habituales que utilizan los antivirus .
Cuando se inicia, el instalador escribe el cuerpo del kit de inicio cifrado en los últimos sectores del disco duro que están fuera del espacio en disco utilizado por el sistema operativo . Para garantizar la carga automática , el bootkit infecta el MBR de la computadora, escribiendo su cargador de arranque en él, el cual, antes del inicio del sistema operativo, lee del disco y despliega el cuerpo principal del rootkit en la memoria, luego de lo cual le da control a el sistema operativo y controla el proceso de arranque . Un bootkit puede verse como un híbrido entre un virus y un tipo de sector de arranque.
Esta familia de programas maliciosos se comporta de forma bastante secreta, no puede ser detectada en un sistema infectado por medios habituales, ya que al acceder a los objetos infectados “sustituye” a las copias originales. Además, el cuerpo principal del malware ( controlador a nivel de kernel ) no está presente en el sistema de archivos , sino que se encuentra en una parte no utilizada del disco fuera de la última partición. El malware carga el controlador por sí solo, sin la ayuda del sistema operativo. El propio sistema operativo no sospecha la presencia de un controlador. La detección y el tratamiento de este bootkit es la tarea más difícil a la que se ha tenido que enfrentar la industria antivirus desde hace varios años. La forma de lidiar con los bootkits es arrancar el sistema desde cualquier medio extraíble no infectado para evitar la descarga principal del virus después de encender la computadora , y luego sobrescribir el sector de arranque con su copia de seguridad BOOTSECT.BAK , que es siempre ubicado en el directorio raíz del volumen del sistema.
| Software malicioso | |
|---|---|
| Malware infeccioso | |
| Ocultar métodos | |
| Malware con fines de lucro |
|
| Por sistemas operativos |
|
| Proteccion |
|
| contramedidas |
|