Está de moda hablar de VBootkit. No es para menos, ya que es un rootkit que permite tomar control de una máquina Windows Vista desde el propio arranque de la misma. Ya a comienzos de mes Schneier habló del tema, y en Slashdot se hicieron eco, eso sí, con unos curiosos y ácidos tags en la noticia: windows, haha, security, defectivebydesign y pwned

Yo no voy a entrar ni en la gravedad ni en lo bochornoso de que un elemento de malware pueda tomar el control de un equipo desde su inicio. El mero hecho de que el que exista la posibilidad es algo que no hay por donde coger y que define perfectamente el tipo de seguridad que implementa el sistema.

Lo que sí voy a hacer es enlazaros una entrevista con los creadores de VBootkit, publicada por SecurityFocus. En ella, los autores, responden a las preguntas de Federico Biancuzzi, uno de los columnistas habituales.

Nitin Kumar: I am a 23 years old graduate from India. I am passionate about computers. The best part about me is that I never give up something till I give a try to it. I like coding in C and asm. I like Reverse Engineering. In free time I usually pick up something and try to understand that. Vista is new and have many new security features, so we thought of creating something for Vista.

Vipin Kumar: I am a 22 year old graduate from India. I like analysing OSes (mainly the internals , kernel stuff etc) and testing OS and network security. Our coding stuff includes development of bootkit, vbootkit and numerous shell-codes and lots of Windows stuff.

Alguna de las lindezas que pueden hacerse con este rootkit son elevar periódicamente los privilegios de cmd.exe a SYSTEM, modificar el registro para iniciar el servicio de Telnet automáticamente o crear un hilo de modo de usuario, para la entrega de payloads en el contexto de procesos protegidos del sistema (ponen de ejemplo LSASS.EXE o Winlogon.exe)

23 y 22 años respectivamente tienen los autores. El código de este rootkit, así como su binario, no son accesibles, ya que se ha entregado a ciertas casas antivirus para que puedan detectar sus patrones, pero es posible descargar binarios y fuentes de otros rootkits anteriores en la página de los creadores.

Fuente: http://www.sahw.com/