Descubierto un rootkit casi invisible

Expertos en seguridad han descubierto un rootkit realmente peligroso por su capacidad de camuflarse y hacerse prácticamente indetectable.

El rootkit, al que Symantec ha denominado Backdoor.Rustock.A y al que F-Secure ha bautizado como Mailbot.A.Z, no es detectado por la inmensa mayoría de los detectores de rootkits actuales.

Symantec afirma que es el primero de una nueva generación de rootkits.

Utiliza una mezcla de viejas técnicas y nuevas ideas para hacerlo "totalmente invisible cuando eté instalado en un ordenador en peligro". Aparentemente funcionó bien incluso en las nuevas versiones de WIndows Vista con las que la gente de Symantec estuvieron probándolo.

El rootkit probablemente fue desarrollado en Rusia, de donde una variante llamada Backdoor.Rustock.B también ha sido descubierta.

F-Secure afirma que su utilidad de detección de este tipo de código, denominada BlackLight en su versión 2.2.1041 es capaz de detectar el nuevo rootkit.

Sin embargo, comenta que fue realmente difícil conseguir una detección efectiva del código porque el nuevo rootkit no genera un proceso en el PC.

El rootkit se ejecuta dentro de uno de los controladores y en ciertos hilos de ejecución del código, y controla las fuciones de este último mediante el uso de funciones especiales IRP.

Es capaz de escanear el sistema para encontrar otros rootkits instalados, y poder "chivarles" la táctica que utiliza de modo que ellos también eviten ser detectados.

Noticia