¿Que es un RootKit?
Un rootkit, es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows.
Fuente: http://es.wikipedia.org/wiki/Rootkit
Se extiende en la Web y romper las defensas del sistema operativo central
Una actualización del rootkit " Pantalla Azul de la Muerte ", que ha infectado a miles de ordenadores en febrero pasado, la actualidad se ocupa de las versiones de 64 bits de Windows.
Este rootkit pasará a la historia como la primera infección de Windows compatible con x64, que podría romper las defensas del kernel e infectar el sector de arranque del disco duro.
Esta actualización, conocida por varios nombres como Alureon, TfL y Tidserv, ya se está propagando a través de los sitios web pornográficos y exploits kits, enseñamos Marco Giuliani, un investigador de seguridad dentro de Prevx , editor antivirus inglés que descubrió la falla .
La nueva hazaña fue un éxito de todos modos para cruzar dos obstáculos principales que Microsoft, había puesto en marcha en las versiones 64-bit de Windows.
La primera barrera es el "modo de núcleo de firma de código", que requiere software y los controladores están firmados digitalmente antes de ser autorizados para funcionar en modo de núcleo.
El segundo, conocido bajo el nombre " Kernel Patch Protection "o" PatchGuard ", que protege el código y las estructuras críticas en el núcleo de Windows, contra la modificación introducida por el código, o datos desconocidos .
"Para lograr esta hazaña, el rootkit modifica el sector de arranque del disco duro ( MBR) , que le permite interceptar las rutinas de inicio de Windows, toma posesión y cargará sus propios controladores ", dijo Giuliani.
Los rootkits de este tipo sería prácticamente indetectable por el sistema operativo y antivirus .
Investigadores de Symantec, que a su vez confirmaron la hazaña, dicen que los principales componentes de Tidserv, se almacenan de forma cifrada en un espacio en blanco al final de la unidad de disco, lo que hace más difícil la detección y eliminación de estos, una vez el equipo infectado.
La primera versión de este rootkit ha causado graves daños a principios de este año. La actualización de seguridad lanzada por Microsoft, para el momento causó la estragos en algunas máquinas Windows 32-bit .
Una acusación por Prevx ya negado por Microsoft, y esta hazaña echa por tierra los sistemas de seguridad de 64-bit ?
Recordó en cualquier caso, la tecnología es inmune a los ataques.
Fuentes : Prevx blog y que Symantec
http://www.developpez.com/actu/20407/Windows-le-premier-Rootkit-ciblant-les-versions-x64-decouvert-il-brise-les-defenses-du-noyau-de-l-OS-et-se-repand-sur-le-Web
No hay comentarios:
Publicar un comentario