Rakshasa: el demonio cambia-formas que puede infectar tu CDROM

Ya se había hecho antes algo parecido, concrétamente el martes 26 de abril de 1998. ¿Qué pasó ese día? Pues además de ser el triste aniversario del más grave accidente nuclear de la historia se activó el virus CIH, más conocido como Chernobyl y al que se le atribuyen pérdidas económicas de hasta 80 millones […]

Ya se había hecho antes algo parecido, concrétamente el martes 26 de abril de 1998. ¿Qué pasó ese día? Pues además de ser el triste aniversario del más grave accidente nuclear de la historia se activó el virus CIH, más conocido como Chernobyl y al que se le atribuyen pérdidas económicas de hasta 80 millones de dólares. Las siglas CIH corresponden a su desarrollador, el taiwanes Chen Ing Hau y la fecha anteriormente citada era, mira tú que casualidad, la de su cumpleaños.

Chernobyl ha sido uno de los virus más destructivos de la historia y lo sacamos a colación hoy porque por sus características bien podría ser el antecesor de Rakshasa. La principal diferencia es que este último no es un virus real, sino una prueba de concepto presentada por Jonathan Brossard, director ejecutivo de Toucan System durante el trascurso de las conferencias Defcon y Black Hat.

Chernobyl y Rakshasa tienen en común la capacidad de sobreescribir la BIOS de la placa base de un ordenador. Pero es que, además, el segundo es un malware capaz de infectar el firmware de algunos dispositivos como discos duros, tarjetas de red o grabadoras de DVD utilizando iPXE.

Rakshasa, que toma nombre de un ser demoníaco del hinduismo y el budismo, puede además evitar su detección al descargarse totalmente de la memoria RAM del ordenador lo que lo haría invisible a los antivirus actuales. Actuar contra esta amenaza supondría considerables esfuerzos aunque de momento no debemos preocuparnos ya que es una realidad solo técnicamente posible. Una linea de defensa sería tener los “jumpers” de escritura de la BIOS en posición “off” para evitar que sea cambiada y otra que los accesos al firmware de nuestros periféricos estén cifrados de manera suficientemente segura.

Una vez que nuestro CDROM, u otro periférico, estuviese infectado por Rakshasa lo único que podríamos hacer sería cambiarlo por otro. Si no, nos arriesgamos a que termine controlando nuestra tarjeta de red…

Fuente: Computerword

Deje un comentario