Un tiempo después de que apareciera este rootkit llamado TLD3, cuya principal novedad consistía en que por primera vez un rootkit era capaz de afectar a sistemas operativos de 64 bits, queremos dar a conocer a nuestros usuarios más detalles sobre su funcionamiento y características, ya que estamos ante un nuevo tipo de amenaza que supone un gran reto para todas las compañías dedicadas a la seguridad informática.
El rootkit TLD3 es nombrado por la mayoría de casas antivirus como Alureon o Olmarik, y se sospecha que en su creación y desarrollo han participado grupos de ciberdelincuentes muy conocidos por las empresas de seguridad.
Las características principales de este rootkit son las siguientes:
-
Inicialmente, afecta a los recursos del driver del minipuerto \systemroot y directamente reemplaza todas las cabeceras IRP. Eventualmente, también comenzó a infectar a drivers al azar en lugar de al minipuerto al que apuntó previamente en la memoria.
-
A continuación, se interceptan todos los procesos que se cargan en el kernel32.dll. Una vez hecho esto, la máquina puede convertirse en zombi y ser parte de una botnet.
-
El archivo Config.ini, uno de los componentes de la infección, contiene la configuración de la botnet, los comandos a ejecutar, ID de los servidores bot y correo electrónico. Además realiza una conexión SSL con los servidores para evitar los filtros HTTP.
Disponen de más información acerca de TLD3 y cibercriminales en los siguientes enlaces:
La novedad reside en que se creía con certeza que el núcleo de los sistemas de 64Bits era inexpugnable, creencia que el rootkit TLD se encargó de destruir. Por ello, desde el departamento técnico de ESET en Ontinet.com, además de explicarles a groso modo el funcionamiento de este rootkit tan específico, queremos hacer hincapié en que no existe ningún sistema 100% seguro. Si los creadores de malware o grupos de cirberdelincuentes, ya sea por rentabilidad o interés, ven la oportunidad de explotar un sistema o software específico, seguramente lo consigan.
David Sánchez