Primer rootkit Windows 64 bits

Primer rootkit Windows 64 bits
31 de agosto, 2010

Acaba de ser descubierta una nueva variante del rootkit Alureon que afectaba a sistemas Windows de 32 bits y que hacía imposible entre otros, actualizar el sistema correctamente. Hasta la fecha no había ningún rootkit que infectara sobre Windows 64 bits debido a sus mejoradas medidas de seguridad, pero ese tiempo parece que ha finalizado. Acaba de llegar una nueva versión de Alureon, también conocido como TDL y Tidserv, que afecta a sistemas operativos de 64 bits infectando el MBR del sistema.

El pasado mes de febrero se descubrió que los múltiples pantallazos azules que recibían equipos Windows tras una actualización del sistema estaban provocados por un rootkit, Alureon. Por aquél entonces el rootkit no podría pasar las medidas de seguridad de sistemas operativos Windows Vista y Windows 7 de 64 bits, Kernel Mode Code Signing y Kernel Patch Protection.

El primer sistema –Kernel Mode Code Signing– no permite que drivers sin firmar accedan a la region de memoria del núcleo, que es donde se hospedan los rootkits habitualmente. Mientras que Kernel Patch Protection previene que drivers kernel mode modifiquen áreas sensibles del núcleo de Windows. La nueva versión de Alureon puede saltarse ambas medidas ya que acaba parcheando el MBR (Master Boot Record) interceptando las rutinas de arranque de Windows y cargando posteriormente su driver malicioso.

"El rootkit neceista privilegios administrativos para infectar el Master Boot Record. Incluso entonces, no es todavía capaz de cargar su driver de 64 bits completamente debido a las medidas de seguridad de Windows 64. Por tanto lo que provoca es una alerta que reinicia el sistema. De esta manera, el MBR puede hacer el trabajo sucio". Comenta Marco Giuliani, investigador de seguridad de la compañía Prevx.

El provocar un reinicio de Windows por sí mismo, es una señal que indica que la época de rootkits para Windows 64 bits acaba de llegar. Giulani ha comentado que no es el primer rootkit que se salta esas medidas, ya que hace un tiempo Wistler estaba a la venta en el mercado negro, sin embargo en esta ocasión el rootkit es primero de libre acceso y se ha encontrado a través de Internet.

  • Share This