MosaicRegressor: nuevo virus que no se va ni reinstalando Windows {Seguridad}

Se ejecuta desde el momento en el que prendemos la PC y se pega al BIOS: es un malware muy sofisticado.

La compañía de ciberseguridad Kaspersky detectó por segunda vez una nueva cepa de virus que no se va ni aun reinstalando Windows: “MosaicRegressor” se instala en el BIOS (UEFI), esto es, el software que usan las computadoras para iniciar y ejecutar los servicios básicos para poder prender la PC.

Esto significa, entre otras cosas, que no alcanza con hacer un reseteo completo del sistema operativo (una clean install, desinstalar y volver a instalar), operación que por lo general resuelve cualquier infección debido a que borra todo de la unidad de almacenamiento donde tenemos instalado Windows.

Y también que, aun cambiando de disco rígido, MosaiRegressor no se va, por quedar en esta suerte de nave nodriza que es el BIOS, desde el cual se ejecuta el arranque.

El engaño se ejecuta a través de un archivo que se llama “IntelUpdate.exe”, es decir, se disfraza de una actualización del firmware (el programa que da soporte a los circuitos electrónicos de la PC).

A nivel técnico, se trata de un “rootkit” (un programa que da accesos de administrador tras corromper barreras de seguridad) que tienen una resistencia muy alta a los métodos tradicionales de remoción. Básicamente porque se ejecuta antes de que arranque el sistema operativo y su antivirus.

El problema más grande es cómo sacarlo: es realmente muy difícil. Y esto porque no es para nada común que un virus se instale en el BIOS: por lo general, se instalan en el sistema operativo (Windows) y por eso la solución para remover un virus suele ser usar un programa de seguridad (Norton, Avira, McAffe, AVG, por ejemplo) o, en el peor de los casos, borrar todo el disco y reinstalar windows.

El malware (programa malicioso) fue bautizado por Kaspersky MosaicRegressor y fue descubierto durante una investigación donde se dieron cuenta de que el virus ya circula: lo encontraron “en la naturaleza”, como dijeron, esto es, en organizaciones no gubernamentales en África, Asia y Europa. Y encontraron conexiones con la Norcorea de Kim Jong-un, ​aunque no dieron detalles.

Qué es el BIOS/UEFI y cómo remover MosaicRegressor

Bios significa Basic Input/Output System y, como lo explica su nombre en inglés, es un programa estándar que traen todas las computadoras. Allí se instala lo que se llama “firmware”, que maneja todos los primeros comandos que se ejecutan cuando presionamos el botón de encendido.

Actualmente se llaman “UEFI”: Unified Extensible Firmware Interface, una solución más moderna del tradicional BIOS, que por lo general tenía un aspecto más rudimentario. El UEFI funciona en un entorno más ameno y hasta permite el uso del mouse.

La clave es que el UEFI/BIOS “vive” en un chip de la placa madre, o motherboard: por eso no desaparece al reinstalar Windows. Ni cambiando el disco rígido.

Ahora bien, ¿cómo sacarlo? Tiene que haber una forma que no sea “tirar” nuestro mother.

“Dada la relativa insularidad de UEFI, incluso si se detecta este archivo malicioso, es casi imposible de eliminar. Ni eliminarlo ni reinstalar el sistema operativo ayuda. La única forma de solucionar el problema es reinstalando el firmware del mother”, explica la empresa de ciberseguridad.

Esto significa que si tenemos este virus instalado hay que hacerle un reseteo al BIOS de la placa madre, un proceso que no es complejo pero demanda bajar los drivers de nuestra placa madre para poder “arrancar” de cero. Y ciertas medidas de seguridad para asegurarnos no dañar nuestro hardware.

Con información de Kaspersky, PC Gamer y Bleeping Computer

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.