La compañía de ciberseguridad Kaspersky detectó por segunda vez una nueva cepa de virus que no se va ni aun reinstalando Windows: “MosaicRegressor” se instala en el BIOS (UEFI), esto es, el software que usan las computadoras para iniciar y ejecutar los servicios básicos para poder prender la PC.
Esto significa, entre otras cosas, que no alcanza con hacer un reseteo completo del sistema operativo (una clean install, desinstalar y volver a instalar), operación que por lo general resuelve cualquier infección debido a que borra todo de la unidad de almacenamiento donde tenemos instalado Windows.
Y también que, aun cambiando de disco rígido, MosaiRegressor no se va, por quedar en esta suerte de nave nodriza que es el BIOS, desde el cual se ejecuta el arranque.
El engaño se ejecuta a través de un archivo que se llama “IntelUpdate.exe”, es decir, se disfraza de una actualización del firmware (el programa que da soporte a los circuitos electrónicos de la PC).
A nivel técnico, se trata de un “rootkit” (un programa que da accesos de administrador tras corromper barreras de seguridad) que tienen una resistencia muy alta a los métodos tradicionales de remoción. Básicamente porque se ejecuta antes de que arranque el sistema operativo y su antivirus.
El problema más grande es cómo sacarlo: es realmente muy difícil. Y esto porque no es para nada común que un virus se instale en el BIOS: por lo general, se instalan en el sistema operativo (Windows) y por eso la solución para remover un virus suele ser usar un programa de seguridad (Norton, Avira, McAffe, AVG, por ejemplo) o, en el peor de los casos, borrar todo el disco y reinstalar windows.
El malware (programa malicioso) fue bautizado por Kaspersky MosaicRegressor y fue descubierto durante una investigación donde se dieron cuenta de que el virus ya circula: lo encontraron “en la naturaleza”, como dijeron, esto es, en organizaciones no gubernamentales en África, Asia y Europa. Y encontraron conexiones con la Norcorea de Kim Jong-un, aunque no dieron detalles.
Afirman que el nuevo virus tiene nexos con Corea del Norte, régimen comandado por Kim Jong-Un. Foto: Korean Central News Agency.
“El objetivo de este programa es instalar un archivo .exe malicioso llamado ‘IntelUpdate.exe’ en la carpeta de inicio de la víctima. Por lo tanto, cuando se inicia Windows, los módulos instalados garantizarían que si el archivo de malware se elimina del disco, se volverá a escribir “, explica Kaspersky.
Y para peor, la compañía asegura que no tiene claro cómo se “esparció” este virus: apuntan casi indefectiblemente a un pen drive, via USB, y que a partir del primer caso se generó la dispersión.
Sin embargo, en la comunidad de ciberseguridad advierten que no es común este virus: simplemente apuntan que el descubrimiento de Kaspersky es preocupante por el diseño de este malware, pero que todavía no es algo que se haya compartido masivamente.
Qué es el BIOS/UEFI y cómo remover MosaicRegressor
El “socket” donde va el microprocesador: distintas partes de la placa madre. Foto Shutterstock
Bios significa Basic Input/Output System y, como lo explica su nombre en inglés, es un programa estándar que traen todas las computadoras. Allí se instala lo que se llama “firmware”, que maneja todos los primeros comandos que se ejecutan cuando presionamos el botón de encendido.
Actualmente se llaman “UEFI”: Unified Extensible Firmware Interface, una solución más moderna del tradicional BIOS, que por lo general tenía un aspecto más rudimentario. El UEFI funciona en un entorno más ameno y hasta permite el uso del mouse.
La clave es que el UEFI/BIOS “vive” en un chip de la placa madre, o motherboard: por eso no desaparece al reinstalar Windows. Ni cambiando el disco rígido.
Ahora bien, ¿cómo sacarlo? Tiene que haber una forma que no sea “tirar” nuestro mother.
“Dada la relativa insularidad de UEFI, incluso si se detecta este archivo malicioso, es casi imposible de eliminar. Ni eliminarlo ni reinstalar el sistema operativo ayuda. La única forma de solucionar el problema es reinstalando el firmware del mother”, explica la empresa de ciberseguridad.
Esto significa que si tenemos este virus instalado hay que hacerle un reseteo al BIOS de la placa madre, un proceso que no es complejo pero demanda bajar los drivers de nuestra placa madre para poder “arrancar” de cero. Y ciertas medidas de seguridad para asegurarnos no dañar nuestro hardware.
Fuente Clarin
