stringtranslate.com

Alureón

Alureon (también conocido como TDSS o TDL-4 ) es un troyano y rootkit creado para robar datos interceptando el tráfico de red de un sistema y buscando nombres de usuario y contraseñas bancarias, datos de tarjetas de crédito, información de PayPal, números de seguridad social y otros datos confidenciales del usuario. [1] Después de una serie de quejas de los clientes, Microsoft determinó que Alureon causó una ola de pantallazos azules en algunos sistemas Microsoft Windows de 32 bits . La actualización, MS10-015, [2] desencadenó estos bloqueos al romper las suposiciones hechas por el autor o autores del malware. [3] [4]

Según una investigación realizada por Microsoft, Alureon fue la segunda botnet más activa en el segundo trimestre de 2010. [5]

Descripción

El bootkit Alureon fue identificado por primera vez alrededor de 2007. [1] Las computadoras personales generalmente se infectan cuando los usuarios descargan e instalan manualmente software troyano . Se sabe que Alureon se incluye con el software de seguridad fraudulento "Security Essentials 2010" . [2] Cuando se ejecuta el dropper, primero secuestra el servicio de cola de impresión (spoolsv.exe) para actualizar el registro de arranque maestro y ejecutar una rutina de arranque modificada. Luego infecta los controladores de sistema de bajo nivel, como los responsables de las operaciones PATA (atapi.sys) para instalar su rootkit .

Una vez instalado, Alureon manipula el Registro de Windows para bloquear el acceso al Administrador de tareas de Windows , Windows Update y el escritorio. También intenta desactivar el software antivirus. También se sabe que Alureon redirige los motores de búsqueda para cometer fraudes de clics . Google ha tomado medidas para mitigar esto para sus usuarios escaneando en busca de actividad maliciosa y advirtiendo a los usuarios en caso de una detección positiva. [6]

El malware atrajo una considerable atención pública cuando un error de software en su código provocó que algunos sistemas Windows de 32 bits se bloquearan tras la instalación de la actualización de seguridad MS10-015. [2] El malware utilizaba una dirección de memoria codificada en el núcleo que cambiaba después de la instalación de la revisión. Posteriormente, Microsoft modificó la revisión para evitar su instalación si había una infección de Alureon, [7] Los autores del malware también solucionaron el error en el código.

En noviembre de 2010, la prensa informó que el rootkit había evolucionado hasta el punto de eludir el requisito obligatorio de firma del controlador en modo kernel de las ediciones de 64 bits de Windows 7. Lo hizo subvirtiendo el registro de arranque maestro , [8] lo que lo hizo particularmente resistente en todos los sistemas a la detección y eliminación por parte del software antivirus.

TDL-4

TDL-4 a veces se utiliza como sinónimo de Alureon y también es el nombre del rootkit que ejecuta la botnet.

Apareció por primera vez en 2008 como TDL-1, detectado por Kaspersky Lab en abril de 2008. Posteriormente, apareció la segunda versión, conocida como TDL-2, a principios de 2009. Algún tiempo después de que se conociera TDL-2, surgió la tercera versión, denominada TDL-3. [9] Esto condujo finalmente a TDL-4. [10]

En 2011, los periodistas lo calificaron de "indestructible", aunque se puede eliminar con herramientas como TDSSKiller de Kaspersky . [11] Infecta el registro de arranque maestro de la máquina de destino, lo que dificulta su detección y eliminación. Los principales avances incluyen el cifrado de las comunicaciones, los controles descentralizados mediante la red Kad y la eliminación de otro malware . [12] [13]

Eliminación

Aunque el rootkit suele evitar ser detectado, se pueden encontrar pruebas circunstanciales de la infección examinando el tráfico de red con un analizador de paquetes o inspeccionando las conexiones salientes con una herramienta como netstat . Aunque el software de seguridad existente en una computadora ocasionalmente informará sobre el rootkit, a menudo pasa desapercibido. Puede ser útil realizar un análisis sin conexión del sistema infectado después de iniciar un sistema operativo alternativo, como WinPE , ya que el malware intentará evitar que el software de seguridad se actualice. Es posible que se requiera el comando "FixMbr" de la Consola de recuperación de Windows y el reemplazo manual de "atapi.sys" para deshabilitar la funcionalidad del rootkit antes de que las herramientas antivirus puedan encontrar y limpiar una infección. [ cita requerida ]

Varias empresas han creado herramientas independientes que intentan eliminar Alureon. Dos herramientas populares son Microsoft Windows Defender Offline y Kaspersky TDSSKiller.

Arrestos

El 9 de noviembre de 2011, el Fiscal de los Estados Unidos para el Distrito Sur de Nueva York anunció cargos contra seis ciudadanos estonios que fueron arrestados por las autoridades estonias y un ciudadano ruso , en relación con la Operación Ghost Click . [14] El 6 de febrero de 2012, dos de estos individuos fueron extraditados a Nueva York por ejecutar una sofisticada operación que utilizó Alureon para infectar millones de computadoras. [15]

Véase también

Referencias

  1. ^ ab "Descripción de la amenaza Win32_Alureon - Microsoft Security Intelligence". microsoft.com. Marzo de 2007. Archivado desde el original el 10 de febrero de 2010. Consultado el 18 de febrero de 2010 .
  2. ^ abc «Microsoft Security Bulletin MS10-015 - Important». Microsoft . 17 de marzo de 2010. Archivado desde el original el 5 de junio de 2011. Consultado el 25 de abril de 2011 .
  3. ^ "Los problemas de reinicio de MS10-015 son el resultado de una infección de rootkit (threatpost)". 18 de febrero de 2010. Archivado desde el original el 21 de octubre de 2012. Consultado el 19 de febrero de 2010 .
  4. ^ "Más información sobre Alureon". Symantec . Archivado desde el original el 19 de enero de 2009.
  5. ^ "Las familias de botnets más activas en el segundo trimestre de 2010" (PDF) . Microsoft . p. 24 . Consultado el 19 de agosto de 2015 .
  6. ^ Berkow, Jameson (20 de julio de 2011). "Google advierte de un brote masivo de malware". Financial Post . Consultado el 25 de noviembre de 2011 .
  7. ^ "Actualización: Problemas de reinicio después de instalar MS10-015 y el rootkit Alureon". Centro de respuesta de seguridad de Microsoft. 17 de febrero de 2010.
  8. ^ Goodin, Dan (16 de noviembre de 2010). «El rootkit más avanzado del mundo penetra en Windows de 64 bits». The Register . Archivado desde el original el 21 de noviembre de 2010. Consultado el 22 de noviembre de 2010 .
  9. ^ "TDSS". Securelist de Kaspersky . 5 de agosto de 2010.
  10. ^ Golovanov, Sergey; Igor Soumenkov (27 de junio de 2011). "TDL4 – Top Bot". Securelist de Kaspersky . Securelist . Consultado el 19 de mayo de 2020 .
  11. ^ Herkanaidu, Ram (4 de julio de 2011). "¿TDL-4 es indestructible o no?". Securelist de Kaspersky . securelist . Consultado el 19 de mayo de 2020 .
  12. ^ Reisinger, Don (30 de junio de 2011). "TDL-4: ¿La botnet 'indestructible'? | The Digital Home - CNET News". CNET . Consultado el 15 de octubre de 2011 .
  13. ^ "¿Botnet TDL-4 'indestructible'?". Techno Globes. 2 de julio de 2011. Archivado desde el original el 12 de octubre de 2011. Consultado el 16 de marzo de 2016 .{{cite web}}: CS1 maint: URL no apta ( enlace )
  14. ^ "Operación Ghost Click: Desmantelada red cibernética internacional que infectó millones de computadoras". FBI.gov . 9 de noviembre de 2011 . Consultado el 14 de agosto de 2015 .
  15. ^ Finkle, Jim (5 de julio de 2015). "Un virus podría dejar sin servicio a casi 250.000 ordenadores". Reuters . Consultado el 14 de agosto de 2015 .

Enlaces externos