03-09-2010

Este año pasado llegó al mercado un rootkit que afectaba a sistemas operativos Windows de 32 bits y que acababa produciendo una serie de pantallazos azules tras la actualización del sistema operativo. El rootkit se conocía como Alureon, aunque también como TDL y Tidserv.

Acaba de encontrarse a través de la red una nueva versión del mismo que es capaz de saltarse las medidas de seguridad de los Windows de 64 bits: Kernel Mode Code Signing y Kernel Patch Protection.

Se podría decir que es el comienzo de la llegada de rootkits a sistemas operativos Windows de 64 bits ya que si bien no es el primero, existía una versión de pago en el mercado negro conocida como Whistler, sí es el primero que se encuentra a través de la red y es capaz de instalarse y hacer que el sistema se reinicie sin motivo aparente.

"El rootkit necesita privilegios administrativos para infectar el Master Boot Record. Incluso entonces, no es todavía capaz de cargar su driver de 64 bits completamente debido a las medidas de seguridad de Windows 64. Por tanto lo que provoca es una alerta que reinicia el sistema. De esta manera, el MBR puede hacer el trabajo sucio" comenta Marco Giuliani, investigador de seguridad de la compañía Prevx.