|
Comparte este artículo
Twitter
Digg
Del.icio.us
Slashdot
Furl
Yahoo
Technorati
Googlize this
Blinklist
Facebook
Wikio
Meneame
Exportar a PDF
Imprimir
E-mail
El 
Rootkit Alureon ha vuelto, y esta vez ha adquirido la habilidad de secuestrar ordenadores bajo versiones de 64 bits de Microsoft Windows, según afirma Marco Giuliani, de la compañía Prevx.
Alureon (también conocido como TDL y Tidserv) acaparó mucha atención en febrero, cuando se descubrió que estaba detrás de los fallos de sistema que ocurrían después de que los usuarios infectados actualizaran su sistema operativo Windows.
Parece ser que esa vez el rootkit no pudo evitar las protecciones de seguridad que hacían a las versiones de Windows 7 de 64 bits más seguras que sus homólogas de 32 bits, como el "Kernel Mode Code Sigining" y el "Kernel Patch Protection".
La primera de estas características no permite a los drivers no firmados acceder a la región de memoria del kernel, y la segunda previene que los dirvers en modo kernel modifiquen áreas sensibles del kernel de Windows. Pero estos mecanismos pueden ser evitados en esta nueva versión de Alureon, que parchea el Master Boot Record para interceptar las rutinas de inicio de Windows y así cargar su driver.
"El rootkit necesita privilegios administrativos para infectar el Master Boot Record. Incluso así, no puede cargar su driver de 64 bits compatible por la protección de seguridad del kernel. Así, el 'dropper' fuerza a que Windows se reinicie inmediatamente y el MBR parcheado puede hacer este trabajo sucio", afirma Giuliani.
Giuliani apunta que este no es el primer rootkit que es capaz de evitar estas medidas de seguridad, ya que existe un "bootkit" llamado Whistler que ha estado a la venta en mercados underground desde hace tiempo.
