Los creadores del famoso AVG Antivirus, Grisoft, han liberado hoy una nueva herramienta que hace frente a las amenazas emergentes en el terreno de la seguridad informática.

El software en sí, como su nombre lo indica, apunta directa y exclusivamente a la eliminación completa de Rootkits, los cuales pueden ocultarse más allá de las herramientas convencionales, provocando que estemos infectados y prácticamente no nos demos cuenta.

El Vice Presidente de Grisoft, Larry Bridwell, explicó que el producto fue desarrollado para detectar y destruir rootkits efectivamente, sin molestar al usuario con falsas alarmas.

Si bien la herramienta no es un todo, es un adicional más para aquellas personas que estén usando sus PC’s con Windows instalado, ya que es la plataforma objetivo de este tipo de ataques, actualmente.

Fuente: PC Magazine

Un usuario español del sitio Rootkit (c0de90e7), ha publicado un artículo en donde explica una variación de la técnica de GhostWriting.

El GhostWriting es una técnica utilizada para hacer cambios en un proceso, mientras este se ejecuta en memoria.

La variación propuesta por el usuario, es básicamente evitar hacer uso de métodos de apertura de procesos, menos escritura, e inyectar bits remotamente de modo que sea más indetectable.

La técnica en sí, es conocida por ser usada en muchos virus, troyanos, rootkits y malware en general.

Para ser bien claro, el usuario publicó una prueba de concepto (código fuente) y una explicación (comentarios en código fuente), todo en inglés (lenguaje universal para dicha tarea), de modo que cualquiera que sepa un mínimo de programación podrá entender el código perfectamente.

Cabe destacar que el proceso no es perfecto, como bien lo señalan los comentarios, siendo que por ejemplo algunos Firewalls interceptan paquetes formados como en la prueba (ZoneAlarm), o que Kaspersky AV 6.0 lo detecta de una y no permite ejecutar.

Estos problemas surgen con aplicaciones de seguridad que analizan el comportamiento de los procesos (apertura de hilos, llamadas, etc), y no solo la firma (signature) de los mismos. Básicamente, las aplicaciones que el día de mañana serán las pocas que sobrevivan a esta manada de malware.

El código demuestra algo, y no lo pone en bandeja para quien quiera usarlo con malas intenciones, pero puede servirnos muchísimo si estamos pensando en formas de proteger nuestros programas… claramente, pensando desde el otro lado del ejemplo.

Fuente: Rootkit

Todos los días nacen nuevos virus, y todos los días se crean nuevas curas para virus ya maduritos, por lo cual hacer una noticia por cada uno sería una pérdida del tiempo.

El tema está cuando un virus, tiene una característica que podría traernos más problemas de lo que nosotros estamos acostumbrados, y esta podría ser… la redirección de DNS.

Y, ¿qué problema particular tiene la redirección de los DNS? Simple, todo el tráfico que sale de nuestras PCs, pasa por un servidor que está tomado por personas con no-tan-buenas intenciones, por lo que nosotros no veremos ningún cambio en nuestra navegación, pero todos los datos que enviemos en la navegación de las páginas (incluídos passwords, cookies recibidas, etc) podrían pasar por dicha PC ya que la misma, a su vez, nos puede redireccionar a un Proxy que actúa como intermediador para tomar los datos de forma transparente.

Este es el caso de un virus que está in-the-wild, o sea, recorriendo las redes actualmente, que tiene como principal característica que se acomoda dentro de los DNS para que nosotros naveguemos por donde ellos quieren.

El virus fue asumido por McAfee como un troyano, ya que el mismo se instala con autorización del usuario, haciendole creer que el mismo le ayudará a encontrar archivos de películas (de ahí el nombre).

El troyano se instala en la carpeta %system32% de Windows, y actúa como rootkit en teoría.

Uno de los usos que se le está dando actualmente para aprovecharse del troyano, es el cambio de las redes de publicidad que se montan en los sitios, redirigiendolas a las publicidades que tienen dichas personas con malas intenciones, de modo que si bien no están aprovechandose de claves y demás (aunque podrían, pero no se ha informado nada), sacan provecho en términos monetarios por las publicidades brindadas.

Aún así, no hay que perder de mira que si navegan por sitios de Bancos, puedan tener la no-tan-grata sorpresa de que luego les falta dinero, y ustedes nunca hayan notado nada raro, porque como dije anteriormente, el cambio es invisible al usuario final.

Fuente: Security Pro News | Avert Labs

Desde hace no mucho tiempo que se viene hablando de Rootkits, que es básicamente un software que se instala en una computadora y que el mismo no puede ser detectado por los sistemas de seguridad que hay actualmente en el mercado, simplemente porque operan por detrás de los lugares que ellos pueden acceder.

El caso más conocido de Rootkit seguramente será el de Sony, el cual terminó haciendo que la empresa perdiera un juicio y debiera indemnizar a cada usuario que hubiese sufrido de su afán de poder.

El problema real de los Rootkits es el simple hecho de que son invisibles para el usuario y a su vez para el software que nos protege, por lo cual, es una amenaza potencial a violar nuestra privacidad en todo momento, sin siquiera darnos cuenta del hecho.

Helios, ¿Que és?
Helios es un sistema avanzado de detección de malware, que actualmente está en una versión de desarrollo pero permite ver como funciona el sistema realmente. La idea a futuro de los creadores del programa, es llevarlo a un nivel en donde se manejen monitores centralizados del sistema, copias de seguridad, etc.

Lo bueno de Helios es que ya ha demostrado detectar y eliminar los más actuales Rootkits. Lo que lo hace diferente de los demás programas en el mercado, es que no se basa en una base de datos, sino que analiza el comportamiento de los programas que dañan el sistema, para poder así detectar efectivamente el malware.

El método usado por Helios, es por tanto, de comportamiento, que difiere completamente con el sistema de firmas reconocidas (BBDD). Este método le permite detectar hasta rootkit que actualmente no ha sido reconocido por las demás empresas de seguridad, con lo que los pone en una buena ventaja.

Observaciones:
Otro programa del mismo estilo es RootKitRevealer de Sysinternals, ahora parte de la empresa de Redmond, Microsoft. Desconozco si dicho programa sigue existiendo, pero las versiones anteriores se pueden bajar de varios sitios. Aún así, creo que es cuestión de probar cual de los dos detecta más… aunque francamente, dudo que alguien quiera hacer un benchmark instalándose Rootkits.

Requisitos:
Windows XP SP 2 + .NET Framework 2.0
512 Mb de RAM
Procesador de +1.0 Ghz

Descargas:
Ultima Versión de Helios
Ultima Versión de Helios Lite

Sitio Web: Miel Labs