Salió un Rootkit imparable
Sunday, 16. July 2006, 02:59:00
Se cree que viene de Rusia (de dónde más sino, todos los cráneos hackers vienen de ahí) y usa varias características en conjunto para ser virtualmente indectable por la mayoría de las herramientas de seguridad, y es llamado Backdoor.Rustock.A por Symantec y Mailbot.AZ por F-Secure. Por un lado, este rootkit hace uso de una vulnerabilidad hace mucho tiempo advertida pero largamente ignorada, ya que se almacena en un Alternate Data Stream, una característica del sistema de archivos NTFS usado en Windows NT/2000/XP/2003 que permite guardar "pistas" alternativas de datos asociadas a cada archivo, las cuales no suelen ser tenidas en cuenta por los antivirus a la hora de escanear un sistema. Sumado a esto, y a otras técnicas más convencionales usadas por los rootkits, está el hecho de que Rustock no tiene un proceso de sistema propio, sino que corre como un driver dentro del kernel del sistema, e incluso es lo suficientemente "inteligente" como para modificar su comportamiento de acuerdo a las herramientas anti-rootkit que existan instaladas en el sistema y tambiar el código del driver en el que reside, para evitar aún más el ser detectado. De todas formas, F-Secure dice que la última versión de su BlackLight Rootkit Scanner (Build 2.2.1041), puede detectarlo.
Nota original.
Nota original.
WIDGETIZE
Anonymous # 19. July 2006, 03:35
Muy bueno tu blog, lastima que nadie pone comentarios de ningun articulo!!! ni siquiera para decir que esta bueno o que es una porqueria.
Porque seremos tan ingratos?
PD: creo que adivine el porque:
La palabra de comprobacion es tan complicada (con MAYUSCULAS, minusculas y numeros!) que al segundo intento todos desisten.
karellen1975 # 19. July 2006, 07:57
Anonymous # 26. July 2006, 20:43
esta chido tu blog es la primera vez que ve doy mi vuelta por aqui, aunque ten por seguro me dare mi vuelta por el blog para ver lo nuevo.
Aunque en eso de los rootkit apenas estoy leyendo sobre ellos.