Rootkit
8 de mayo de 2012
0 comentarios
El rootkit ZeroAccess (Sirefef) es una peligrosa amenaza que ha estado circulando desde hace varios años, aunque es durante los últimos meses que se ha comenzado a observar un crecimiento en el número de infecciones provocadas por este ejemplar debido a la evolución de sus nuevas variantes.
De entre los cientos de casos de infecciones que recibimos a diario en nuestro Foro de InfoSpyware, en los últimos 3 meses, ZeroAccess representa prácticamente un 30% de estos, superando a clásicos malwares como Zeus (Doble tilde), TDSS, entre otros… y solo por debajo del Ransomware del “Virus de la Policía”.
Básicamente, ZeroAccess es un sofisticado rootkit en modo kernel, similar en espíritu a la familia de de rootkits TDL. Utiliza técnicas avanzadas para ocultar su presencia, es capaz de funcionar tanto en versiones de Windows 32 y 64-bit desde un solo instalador, contiene la funcionalidad agresiva de defensa propia y actúa como una plataforma de descarga sofisticada para otros tipos de malwares.
Seguir leyendo »
29 de noviembre de 2010
0 comentarios
TDSSKiller es un Anti-Rootkits gratuito creado por Kaspersky Labs. para eliminar los peligrosos rootkit de la familia Rootkit.Win32.TDSS: TDL1 , TDL2, TDL3, TDL4, TDSS, Tidserv, TDSServ Sinowal, Whistler, Phanta, Trup, Stonedy, MBR Rootkit y Alureon entre otros. Se trata de virus del estilo rootkit / bootkit muy difíciles de detectar y eliminar con antivirus tradicionales.
Seguir leyendo »
16 de septiembre de 2010
0 comentarios
Whistler Bootkit es una amenaza que circula por la red de este nuevo estilo de código malicioso Rootkit/Bootkit, del cual hemos estado recibiendo varios casos en el foro en las ultimas semanas, con síntomas que parecieran más bien de una película de terror cuando el equipo comienza a reproducir música solo o de golpe se nos baja el volumen, que de una infección por un malwares.
Si bien tanto los Rootkits como los Bootkit forman parte de un mismo concepto y los objetivos finales terminan siendo siempre los mismos, existe una serie de patrones que los diferencian y hacen del bootkit la inevitable evolución del rootkit convencional sumando al estado del arte del ocultamiento acciones más complejas.
Whistler Bootkit es también conocido como “Black Internet” y ataca a todas las versiones de Windows desde 2000 hasta la reciente Server 2008 y Windows 7 (32 y 64bits), sumando funciones más complejas como la capacidad de infectar el “Master Boot Record”. Una vez que el equipo es infectado por esté, queda a total disposición de su atacante pudiéndolo convertirse en parte de una Botnet, entre otras cosas…
Seguir leyendo »
6 de agosto de 2010
0 comentarios
Una de las preguntas más frecuentes que recibimos de los usuarios en nuestro Foro de InfoSpyware , es la de ¿Cómo saber si nuestro ordenandor está infectado por algún tipo de virus informático (Malware) o no?, ¿cuáles serían las claves o síntomas más comunes a tener en cuenta?, sobre todo, ante cualquier comportamiento anormal que esté presente.
Para responder a esta pregunta, hemos elaborado un listado que queremos compartirles, con los diez principales y posibles síntomas visibles de infección. Aún cuando hoy en día la mayoría de las amenazas informáticas están preparadas para pasar desapercibidas, siguen dejando rastro en nuestro equipo como la lentitud o la falta de conexión a Internet.
Los 10 posibles síntomas de infección de Malwares pueden ser:
Seguir leyendo »
1 de diciembre de 2009
5 comentarios
La utilización de días festivos o acontecimientos importantes a nivel mundial son otro de los métodos aprovechados por los creadores de malwares para propagar sus infecciones de manera masiva. Esto no es una técnica nueva ya que desde siempre se ha explotado, pero que hoy en día con el auge de las redes sociales (Facebook, Twitter, etc) estos métodos de infección resultan mucho mas efectivos para conseguir nuevas victimas como ya lo esta haciendo el gusano Koobface aprovechando el clima navideño.
El método de infección no difiere mucho de sus variantes anteriores utilizando la ingeniería social aplicada a las redes sociales, solo que en este caso, los falsos vídeos a los que accederemos si seguimos el enlace publicado por alguno de nuestros amigos de Facebook que ya este infectado, fueron publicados por el mismísimo ***SantA***
Seguir leyendo »
19 de marzo de 2009
0 comentarios
Malware es la abreviatura de “Malicious software”, término que engloba a todo tipo de programa o código informático malicioso cuya función es dañar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar términos como: Virus, Troyanos (Trojans), Gusanos (Worm), keyloggers, Botnets, Ransomwares, Spyware, Adware, Hijackers, Keyloggers, FakeAVs, Rootkits, Bootkits, Rogues, etc….
En la actualidad y dado que los antiguos llamados Virus informáticos ahora comparten funciones con sus otras familias, se denomina directamente a cualquier código malicioso (parásito/infección), directamente como un “Malware”.
Seguir leyendo »
19 de marzo de 2009
0 comentarios
Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares.
Seguir leyendo »
3 de noviembre de 2008
1 comentario
F-Secure BlackLight Rootkit Eliminator sirve para detectar y eliminar ‘objetos’ ocultos, tanto a la vista del usuario (si vamos a la carpeta en la que está el rootkit no se vera) como a las utilidades de seguridad habituales. Seguir leyendo »
15 de abril de 2008
0 comentarios
Como todos sabemos las
Olimpíadas Beijing 2008 están a punto de comenzar, por lo que es normal que ya se comiencen a detectar los primeros
malwares que hace alusión a esta y mas aprovechando los conflictos entre China y el Tíbet y seguramente en la medida que nos acerquemos al comienzo de estas, estemos viendo mas gente aprovechándose de estos para distribuir su malware.
En este caso se trata de una investigación realizada por la gente de McAfee Avert Labs quienes el día de ayer reportaban haber recibido el primero Rootkit / Keylogger de las olimpiadas 2008.
Al principio parecía una simple presentación en flash, por lo menos a juzgar por el icono.
Al ejecutar el archivo, llamado RaceForTibet.EXE, se visualiza una historieta con un gimnasta chino muy experto que realiza un cierto ejercicio asombroso enrollado en un “vaulting Bbox” para el que el jurado le otorgó un 0 , al mismo tiempo que le daba una descarga eléctrica!
Luego, mientras se repite el ejercicio del gimnasta, visualiza unas cuantas fotografías bastante brutales de acontecimientos verídicos, ocurridos entre China y el Tíbet, como una visión retrospectiva. Como investigadores de malwares, no podíamos evitar mirar más a fondo para ver si había cualquier cosa más que una crítica política sobre los acontecimientos que ocurrían en Tíbet y China.
A continuación decidimos utilizar el “McAfee Rootkit detective” para saber si había procesos ocultos y demás y resultó que algunos archivos habían sido instalados sigilosamente en el PC! En ellos tenemos el rootkit del Tibetano en cuestión:
Como puede verse, unos cuantos archivos ahora están escondidos en el sistema y se ocultan totalmente de la vista de cualquier “usuario-normal”.
El archivo original (RaceforTibet.EXE) crea una copia en archivo llamado “dopydwi.sys” en la carpeta de sistema (Windows/System32 en XP)
Dicho rootkit es además un keylogger que se presenta como mensaje político.
El archivo del DOPYDWI.DLL creado en el sistema va a ser utilizado para hacer keylogging real. Con ello crea un fichero diario que es ocultado y guardado en el sistema (dopydwi.log) almacenando toda la información recopilada en la máquina infectada.
El IP remoto a donde se envían estos datos está ubicado en China (bastante chistoso al aparentar ser propaganda política anti-china…).
¿Van a ver los Juegos Olímpicos? Si es así que no sea en los ejecutables flash que llegan por correo electrónico.
Visto en McAfee Avert Labs
