Alureon (también conocido como TDSS o TDL-4 ) es un troyano y bootkit creado para robar datos interceptando el tráfico de red de un sistema y buscando: nombres de usuario y contraseñas bancarias, datos de tarjetas de crédito, información de PayPal, números de seguridad social y otros usuarios sensibles datos. [1] Tras una serie de quejas de clientes, Microsoft determinó que Alureon provocó una ola de BSoD en algunos sistemas Microsoft Windows de 32 bits . La actualización, MS10-015, [2] provocó estos bloqueos al romper las suposiciones hechas por los autores del malware. [3] [4]
Según la investigación realizada por Microsoft, Alureon fue la segunda botnet más activa en el segundo trimestre de 2010. [5]
Descripción
El arranque Allure se identificó por primera vez alrededor de 2007. [1] Las computadoras personales generalmente se infectan cuando los usuarios descargan e instalan manualmente software troyano . Se sabe que Alureon se ha incluido con el software de seguridad falso , "Security Essentials 2010" . [2] Cuando se ejecuta el dropper, primero secuestra el servicio de cola de impresión (spoolsv.exe) para actualizar el registro de arranque maestro y ejecutar una rutina de arranque modificada. Luego infecta los controladores del sistema de bajo nivel, como los responsables de las operaciones PATA (atapi.sys) para instalar su rootkit .
Una vez instalado, Alureon manipula el Registro de Windows para bloquear el acceso al Administrador de tareas de Windows , Windows Update y el escritorio. También intenta desactivar el software antivirus. También se sabe que Alureon redirige los motores de búsqueda para cometer fraude de clics . Google ha tomado medidas para mitigar esto para sus usuarios al escanear en busca de actividad maliciosa y advertir a los usuarios en caso de una detección positiva. [6]
El malware atrajo una considerable atención pública cuando un error de software en su código hizo que algunos sistemas Windows de 32 bits fallaran al instalar la actualización de seguridad MS10-015. [2] El malware estaba usando una dirección de memoria codificada en el kernel que cambió después de la instalación de la revisión. Microsoft modificó posteriormente la revisión para evitar la instalación si hay una infección de Alureon, [7] Los autores del malware también corrigieron el error en el código.
En noviembre de 2010, la prensa informó que el rootkit había evolucionado hasta el punto de que pasaba por alto el requisito obligatorio de firma del controlador en modo kernel de las ediciones de 64 bits de Windows 7 . Lo hizo subvirtiendo el registro de arranque maestro , [8] lo que lo hizo particularmente resistente en todos los sistemas a la detección y eliminación por software antivirus.
TDL-4
TDL-4 a veces se usa como sinónimo de Alureon y también es el nombre del rootkit que ejecuta la botnet.
Apareció por primera vez en 2008 como TDL-1 siendo detectado por Kaspersky Lab en abril de 2008. La versión dos posterior apareció conocida como TDL-2 a principios de 2009. Algún tiempo después de que TDL-2 se dio a conocer, surgió la versión tres que se tituló TDL-3. [9] Esto condujo finalmente a TDL-4. [10]
Los periodistas lo calificaron a menudo de "indestructible" en 2011, aunque se puede eliminar con herramientas como TDSSKiller de Kaspersky . [11] Infecta el registro de arranque maestro de la máquina de destino, lo que dificulta su detección y eliminación. Los principales avances incluyen el cifrado de las comunicaciones, los controles descentralizados mediante la red Kad y la eliminación de otros programas maliciosos . [12] [13]
Eliminación
Si bien el rootkit generalmente puede evitar la detección, la evidencia circunstancial de la infección se puede encontrar examinando el tráfico de la red con un analizador de paquetes o inspeccionando las conexiones salientes con una herramienta como netstat . Aunque el software de seguridad existente en una computadora informará ocasionalmente del rootkit, a menudo no se detecta. Puede ser útil realizar un análisis sin conexión del sistema infectado después de iniciar un sistema operativo alternativo, como WinPE , ya que el malware intentará evitar que el software de seguridad se actualice. Es posible que se requiera el comando "FixMbr" de la Consola de recuperación de Windows y el reemplazo manual de "atapi.sys" para deshabilitar la funcionalidad de rootkit antes de que las herramientas antivirus puedan encontrar y limpiar una infección. [ cita requerida ]
Varias empresas han creado herramientas independientes que intentan eliminar Alureon. Dos herramientas populares son Microsoft Windows Defender Offline y Kaspersky TDSSKiller .
Detenciones
El 9 de noviembre de 2011, el Fiscal de los Estados Unidos para el Distrito Sur de Nueva York anunció cargos contra seis ciudadanos estonios que fueron arrestados por las autoridades estonias y un ciudadano ruso , junto con la Operación Ghost Click . [14] El 6 de febrero de 2012, dos de estas personas fueron extraditadas a Nueva York por ejecutar una operación sofisticada que usaba Alureon para infectar millones de computadoras. [15]
Ver también
- Bagle (gusano informático)
- Botnet
- Conficker
- Gameover ZeuS
- Regin (malware)
- Botnet de Rustock
- Botnet Srizbi
- Botnet de tormenta
- Trojan.Win32.DNSChanger
- Botnet ZeroAccess
- Zeus (malware)
- Zombie (informática)
Referencias
- ^ a b "Descripción de la amenaza Win32_Alureon - Inteligencia de seguridad de Microsoft" . microsoft.com. Marzo de 2007. Archivado desde el original el 10 de febrero de 2010 . Consultado el 18 de febrero de 2010 .
- ^ a b c "Boletín de seguridad de Microsoft MS10-015 - Importante" . Microsoft . 2010-03-17. Archivado desde el original el 5 de junio de 2011 . Consultado el 25 de abril de 2011 .
- ^ "Los problemas de reinicio de MS10-015 son el resultado de una infección de rootkit (Threatpost)" . Archivado desde el original el 21 de octubre de 2012 . Consultado el 19 de febrero de 2010 .
- ^ "Más información sobre Alureon" . symantec.com.
- ^ "Familias de botnets más activas en el 2T10" (PDF) . Microsoft . pag. 24 . Consultado el 19 de agosto de 2015 .
- ^ "Google advierte de un brote masivo de malware" . Puesto financiero . 2011-07-20 . Consultado el 25 de noviembre de 2011 .
- ^ "Actualización: problemas de reinicio después de instalar MS10-015 y Alureon Rootkit" . Centro de respuesta de seguridad de Microsoft. 2010-02-17.
- ^ Goodin, Dan (16 de noviembre de 2010). "El Rootkit más avanzado del mundo penetra en Windows de 64 bits" . El registro . Archivado desde el original el 21 de noviembre de 2010 . Consultado el 22 de noviembre de 2010 .
- ^ "TDSS" . Securelist de Kaspersky .
- ^ Golovanov, Sergey; Igor Soumenkov (27 de junio de 2011). "TDL4 - Top Bot" . Securelist de Kaspersky . Securelist . Consultado el 19 de mayo de 2020 .
- ^ Herkanaidu, Ram (4 de julio de 2011). "TDL-4 ¿Indestructible o no?" . Securelist de Kaspersky . securelist . Consultado el 19 de mayo de 2020 .
- ^ Reisinger, Don (30 de junio de 2011). "TDL-4: ¿La botnet 'indestructible'? | El hogar digital - CNET News" . CNET . Consultado el 15 de octubre de 2011 .
- ^ " ¿Botnet TDL-4 ' indestructible'?" . Globos tecnológicos. 2 de julio de 2011. Archivado desde el original el 12 de octubre de 2011 . Consultado el 16 de marzo de 2016 .CS1 maint: URL no apta ( enlace )
- ^ "Operación clic fantasma: anillo cibernético internacional que infectó millones de computadoras desmanteladas" . FBI.gov . 9 de noviembre de 2011 . Consultado el 14 de agosto de 2015 .
- ^ Finkle, Jim (5 de julio de 2015). "El virus podría bloquear casi 250.000 PC" . Reuters . Consultado el 14 de agosto de 2015 .
enlaces externos
- Herramienta TDSSKiller para detectar y eliminar rootkits y bootkits , Kaspersky Lab
- Eliminación de TDSS , 6 de junio de 2011, TrishTech.com
- Virus: Win32 / Alureon.A en Microsoft Security Intelligence
- Backdoor.Tidserv en Symantec