{"id":4653,"date":"2020-10-26T16:28:02","date_gmt":"2020-10-26T19:28:02","guid":{"rendered":"https:\/\/www.radians.com.ar\/blog\/?p=4653"},"modified":"2020-11-18T16:31:28","modified_gmt":"2020-11-18T19:31:28","slug":"mosaicregressor-nuevo-virus-que-no-se-va-ni-reinstalando-windows-seguridad","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=4653","title":{"rendered":"MosaicRegressor: nuevo virus que no se va ni reinstalando Windows {Seguridad}"},"content":{"rendered":"\n

Se ejecuta desde el momento en el que prendemos la PC y se pega al BIOS: es un malware muy sofisticado.<\/h4>\n\n\n\n

La compa\u00f1\u00eda de ciberseguridad Kaspersky <\/strong>detect\u00f3 por segunda vez una nueva cepa de virus que no se va ni aun reinstalando Windows<\/strong>: “MosaicRegressor”<\/strong> se instala en el BIOS <\/strong>(UEFI<\/strong>), esto es, el software que usan las computadoras para iniciar y ejecutar los servicios b\u00e1sicos para poder prender la PC.<\/p>\n\n\n\n

Esto significa, entre otras cosas, que no alcanza con hacer un reseteo completo del sistema operativo <\/strong>(una clean install<\/em>, desinstalar y volver a instalar), operaci\u00f3n que por lo general resuelve cualquier infecci\u00f3n debido a que borra todo de la unidad de almacenamiento donde tenemos instalado Windows.<\/p>\n\n\n\n

Y tambi\u00e9n que, aun cambiando de disco r\u00edgido, MosaiRegressor no se va<\/strong>, por quedar en esta suerte de nave nodriza que es el BIOS, desde el cual se ejecuta el arranque.<\/p>\n\n\n\n

El enga\u00f1o se ejecuta a trav\u00e9s de un archivo que se llama \u201cIntelUpdate.exe\u201d,<\/strong> es decir, se disfraza de una actualizaci\u00f3n del firmware (el programa que da soporte a los circuitos electr\u00f3nicos de la PC).<\/p>\n\n\n\n

A nivel t\u00e9cnico, se trata de un \u201crootkit<\/strong>\u201d (un programa que da accesos de administrador tras corromper barreras de seguridad) que tienen una resistencia muy alta a los m\u00e9todos tradicionales de remoci\u00f3n. B\u00e1sicamente porque se ejecuta antes de que arranque el sistema operativo y su antivirus.<\/strong><\/p>\n\n\n\n

El problema m\u00e1s grande es c\u00f3mo sacarlo: es realmente muy dif\u00edcil. <\/strong>Y esto porque no es para nada com\u00fan que un virus se instale en el BIOS: por lo general, se instalan en el sistema operativo (Windows) y por eso la soluci\u00f3n para remover un virus suele ser usar un programa de seguridad (Norton, Avira, McAffe, AVG<\/a>, por ejemplo) o, en el peor de los casos, borrar todo el disco y reinstalar windows.<\/p>\n\n\n\n

El malware (programa malicioso) fue bautizado por Kaspersky MosaicRegressor y fue descubierto durante una investigaci\u00f3n donde se dieron cuenta de que el virus ya circula: lo encontraron \u201cen la naturaleza\u201d,<\/strong> como dijeron, esto es, en organizaciones no gubernamentales en \u00c1frica, Asia y Europa. Y encontraron conexiones con la Norcorea de Kim Jong-un, <\/strong>\u200baunque no dieron detalles.<\/p>\n\n\n\n

Qu\u00e9 es el BIOS\/UEFI y c\u00f3mo remover MosaicRegressor<\/h2>\n\n\n\n

Bios significa Basic Input\/Output System <\/strong>y, como lo explica su nombre en ingl\u00e9s, es un programa est\u00e1ndar que traen todas las computadoras. All\u00ed se instala lo que se llama \u201cfirmware<\/strong>\u201d, que maneja todos los primeros comandos que se ejecutan cuando presionamos el bot\u00f3n de encendido.<\/strong><\/p>\n\n\n\n

Actualmente se llaman \u201cUEFI\u201d: Unified Extensible Firmware Interface, una soluci\u00f3n m\u00e1s moderna del tradicional BIOS, que por lo general ten\u00eda un aspecto m\u00e1s rudimentario. El UEFI funciona en un entorno m\u00e1s ameno <\/strong>y hasta permite el uso del mouse<\/strong>.<\/p>\n\n\n\n

La clave es que el UEFI\/BIOS \u201cvive\u201d en un chip de la placa madre, o motherboard:<\/strong> por eso no desaparece al reinstalar Windows. Ni cambiando el disco r\u00edgido.<\/p>\n\n\n\n

Ahora bien, \u00bfc\u00f3mo sacarlo? Tiene que haber una forma que no sea \u201ctirar\u201d nuestro mother.<\/p>\n\n\n\n

\u201cDada la relativa insularidad de UEFI, incluso si se detecta este archivo malicioso, es casi imposible de eliminar. <\/strong>Ni eliminarlo ni reinstalar el sistema operativo ayuda. La \u00fanica forma de solucionar el problema es reinstalando el firmware del mother<\/strong>\u201d, explica la empresa de ciberseguridad.<\/p>\n\n\n\n

Esto significa que si tenemos este virus instalado hay que hacerle un reseteo al BIOS de la placa madre, un proceso que no es complejo pero demanda bajar los drivers de nuestra placa madre para poder \u201carrancar\u201d de cero. Y ciertas medidas de seguridad para asegurarnos no da\u00f1ar nuestro hardware.<\/p>\n\n\n\n

Con informaci\u00f3n de Kaspersky, PC Gamer y Bleeping Computer<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Se ejecuta desde el momento en el que prendemos la PC y se pega al…<\/p>\n","protected":false},"author":1,"featured_media":4655,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[279],"tags":[230,304],"class_list":["post-4653","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-windows-10","tag-seguridad","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/4653","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4653"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/4653\/revisions"}],"predecessor-version":[{"id":4654,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/4653\/revisions\/4654"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4655"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4653"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4653"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4653"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}