Blogantivirus

Un usuario espa�ol del sitio Rootkit (c0de90e7), ha publicado un art�culo en donde explica una variaci�n de la t�cnica de GhostWriting.

El GhostWriting es una t�cnica utilizada para hacer cambios en un proceso, mientras este se ejecuta en memoria.

La variaci�n propuesta por el usuario, es b�sicamente evitar hacer uso de m�todos de apertura de procesos, menos escritura, e inyectar bits remotamente de modo que sea m�s indetectable.

La t�cnica en s�, es conocida por ser usada en muchos virus, troyanos, rootkits y malware en general.

Para ser bien claro, el usuario public� una prueba de concepto (c�digo fuente) y una explicaci�n (comentarios en c�digo fuente), todo en ingl�s (lenguaje universal para dicha tarea), de modo que cualquiera que sepa un m�nimo de programaci�n podr� entender el c�digo perfectamente.

Cabe destacar que el proceso no es perfecto, como bien lo se�alan los comentarios, siendo que por ejemplo algunos Firewalls interceptan paquetes formados como en la prueba (ZoneAlarm), o que Kaspersky AV 6.0 lo detecta de una y no permite ejecutar.

Estos problemas surgen con aplicaciones de seguridad que analizan el comportamiento de los procesos (apertura de hilos, llamadas, etc), y no solo la firma (signature) de los mismos. B�sicamente, las aplicaciones que el d�a de ma�ana ser�n las pocas que sobrevivan a esta manada de malware.

El c�digo demuestra algo, y no lo pone en bandeja para quien quiera usarlo con malas intenciones, pero puede servirnos much�simo si estamos pensando en formas de proteger nuestros programas… claramente, pensando desde el otro lado del ejemplo.

Fuente: Rootkit