Descubren primer rootkit dirigido a Windows 64-bit

Publicado el 29 agosto 2010 ¬ 13:09 pmh.mscComentarios desactivados en Descubren primer rootkit dirigido a Windows 64-bit

El ‘rootkit’ Alureon está de vuelta, y ha adquirido la habilidad de secuestrar computadoras que corren versiones de 64 bits de Microsoft Windows, declaró Marco Giuliani, investigador de seguridad de la compañía de seguridad Prevx.

Alureon (conocido también como TDL y Tidserv) ha conseguido mucha atención en febrero cuando se descubrió que estaba detrás de las caídas de sistemas que sucedían después que usuarios infectados intentaban actualizar su SO Windows.

Parece que en aquel momento, el rootkit fue incapaz de superar las características de seguridad que hacen a las versiones 64 bits de Windows Vista y 7 más seguro que sus contrapartes de 32 bits – a saber el Firmado de Código de Modo Kernel (Kernel Mode Code Signing) y la Protección de Parches de Kernel (Kernel Patch Protection).

El Firmado de Código de Modo Kernel no permite que drivers no firmados digitalmente accedan a la región de memoria del núcleo (y los rootkits de modo kernel a menudo no lo están), y la Protección de Parches de Kernel impide que los drivers de modo kernel puedan modificar áreas sensibles del núcleo de Windows. Pero ambos mecanismos de protección obviamente pueden ser superados por esta nueva versión de Alureon, que emparcha el Master Boot Record para poder interceptar las rutinas de inicio de Windows y luego cargar su driver.

“El rootkit necesita privilegios administrativos para infectar el Master Boot Record. Aún así, no puede cargar sus propio driver compatible de 64 bits debido a la seguridad del kernel de Windows. Entonces, fuerza a Windows a reiniciar inmediatamente. De esta forma el MBR emparchado puede hacer el trabajo sucio,” dice Giuliani.

Bien, reiniciando Windows “por si mismo” de esta forma, me parece un buen signo para comenzar a preocuparse.

Giuliani también señala que este no es el primer rootkit capaz de pasar esos bloqueos de seguridad – un bootkit denominado Whistler ha sido señalado siendo ofrecido en venta en varios mercados negros hace algún tiempo – pero esta es la primera vez que un rootkit así ha sido detectado libre en uso. Según él, la era de los rootkits x64 ha comenzado oficialmente.
 Fuente

Comentario:
Es un escalón mas que suben los malwares, y cada vez nos lo ponen mas dificil !

saludos

ms, 29-8-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies