El rootkit TLD3 (Alureon o Olmarik) y los sistemas de 64 Bits

Publicado el 8 noviembre 2010 ¬ 17:48 pmh.mscComentarios desactivados en El rootkit TLD3 (Alureon o Olmarik) y los sistemas de 64 Bits

Un tiempo después de que apareciera este rootkit llamado TLD3, cuya principal novedad consistía en que por primera vez un rootkit era capaz de afectar a sistemas operativos de 64 bits, queremos dar a conocer a nuestros usuarios más detalles sobre su funcionamiento y características, ya que estamos ante un nuevo tipo de amenaza que supone un gran reto para todas las compañías dedicadas a la seguridad informática.

El rootkit TLD3 es nombrado por la mayoría de casas antivirus como Alureon o Olmarik, y se sospecha que en su creación y desarrollo han participado grupos de ciberdelincuentes muy conocidos por las empresas de seguridad.

Las características principales de este rootkit son las siguientes:

•Inicialmente, afecta a los recursos del driver del minipuerto \systemroot y directamente reemplaza todas las cabeceras IRP. Eventualmente, también comenzó a infectar a drivers al azar en lugar de al minipuerto al que apuntó previamente en la memoria.

•A continuación, se interceptan todos los procesos que se cargan en el kernel32.dll. Una vez hecho esto, la máquina puede convertirse en zombi y ser parte de una botnet.

•El archivo Config.ini, uno de los componentes de la infección, contiene la configuración de la botnet, los comandos a ejecutar, ID de los servidores bot y correo electrónico. Además realiza una conexión SSL con los servidores para evitar los filtros HTTP.

Disponen de más información acerca de TLD3 y cibercriminales en los siguientes enlaces:

(EN INGLES) Informe de ESET, creado por Alexandr Matrosov, (Experto en investigación de malware), y Eugene Rodionov, (Analista de Rootkits)

(EN INGLES )Conferencia presentada por Joe Jhonson, (Ingeniero en desarrollado de software de Microsoft )

La novedad reside en que se creía con certeza que el núcleo de los sistemas de 64Bits era inexpugnable, creencia que el rootkit TLD se encargó de destruir. Por ello, desde el departamento técnico de ESET en Ontinet.com, además de explicarles a groso modo el funcionamiento de este rootkit tan específico, queremos hacer hincapié en que no existe ningún sistema 100% seguro. Si los creadores de malware o grupos de cirberdelincuentes, ya sea por rentabilidad o interés, ven la oportunidad de explotar un sistema o software específico, seguramente lo consigan.  Por David Sánchez
__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Virus, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies