Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Nuevo Rootkit posiblemente cuenta con controladores firmados por Realtek

Ver el tema anterior Ver el tema siguiente Ir abajo

Nuevo Rootkit posiblemente cuenta con controladores firmados por Realtek

Mensaje  novlucker el Vie Jul 16, 2010 2:08 pm

Investigadores de seguridad han identificado un nuevo programa sospechoso que se está copiando a las PCs a través de dispositivos USB de almacenamiento masivo y está firmado digitalmente con el certificado de Realtek Semiconductor, un importante fabricante de productos informáticos con sede en Taiwán.

El programa, conocido como Stuxnet, parece una pieza común de malware con un par de excepciones importantes. Stuxnet utiliza un archivo LNK para lanzarse a sí mismo desde unidades USB infectadas hacia las computadoras. Los archivos LNK son utilizados por los programas de Windows como un acceso directo o referencia a un archivo de origen, y es por esto que se piensa que es la primera instancia de una pieza de malware sospechoso que usa archivo LNK para infectar las máquinas .. En segundo lugar, y aún más preocupante, es el hecho de que los dos controladores asociados con el troyano están firmados digitalmente con el certificado de Realtek.

"Sin embargo, a veces los cibercriminales de alguna manera logran poner en sus manos el propio código para firmar certificado o aplicar signaturas. Recientemente, hemos sido testigos de casos regulares de este tipo con los troyanos para teléfonos móviles. Cuando identificamos casos como este, se informa a la correspondiente autoridad de certificación, se revoca el certificado, y así sucesivamente ", dijo Aleks Gostev de Kaspersky Lab en un blog sobre el troyano. "Pero, en el caso de Stuxnet, las cosas se ven muy sospechoso, debido a que el troyano no está firmado con una firma digital al azar, es la firma de Realtek Semiconductor, uno de los mayores productores de equipos informáticos.

Revocar un certificado de una empresa de este tipo simplemente no es posible, causaría que una enorme cantidad de software liberado quedará inutilizable."

Cuando se ejecuta, Stuxnet crea dos controladores en el equipo afectado, llamados mrxcls.sys y mrxnet.sys. Los controladores son usados para enmascarar el malware tanto en la unidad USB y la PC infectada. Los dos controladores están firmados con el certificado de Realtek. El programa no parece realizar ninguna actividad maliciosa hasta que está instalado en una nueva máquina, de donde se copia a otros dispositivos USB conectados al equipo.

La comprobación de validez en VeriSign, el emisor del certificado, muestra que efectivamente es legítimo. Uno de los problemas de los archivos de programas maliciosos firmados digitalmente, como actualmente es el caso de Stuxnet, es que ofuscan la confianza implícita otorgada por los programas de seguridad, por lo que se les permita pasar sin problemas. Y en algunos casos la lista blanca del software de seguridad aprueba los archivos firmados digitalmente como algo normal.

El troyano Stuxnet fue descubierto a mediados de junio por una compañía antimalware en Bielorrusia llamada VirusBlokAda. El certificado para el troyano era válido hasta el 10 de junio y los controladores de Stuxnet se firmaron a finales de enero. Fue casi una semana después de que el certificado expirara que la comunidad antimalware vio por primera vez Stuxnet circulando libremente.

Gostev dijo que una posible explicación para los controladores firmados digitalmente, es que son componentes legítimos del software en una unidad USB que tienen característicos de un rootkit. El nuevo troyano está confinado actualmente a los equipos de la India, Irán e Indonesia.

"Sí, ellos tienen una funcionalidad de rootkit, y ocultan archivos lnk y ~WTRxxxx.tmp en la raíz del dispositivo de almacenamiento. Pero eso no significa que los archivos del controlador no son legítimos - ¿recuerdan el incidente de rootkit de Sony? ¿Y el malware que utilizó la tecnología de rootkit? ", escribió.

Realtek no respondió a nuestra solicitud de comentarios.

Fuente
:http://threatpost.com/es_la/blogs/nuevo-rootkit-posiblemente-cuenta-con-controladores-firmados-por-realtek-071510

_________________
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."
Albert Einstein

avatar
novlucker
Colaborador
Colaborador

Posts : 129
KCoins : 200
Reputación : 3
Fecha de inscripción : 25/09/2008

Staff


Ver perfil de usuario

Volver arriba Ir abajo

Re: Nuevo Rootkit posiblemente cuenta con controladores firmados por Realtek

Mensaje  Roy-Mustang el Sáb Jul 17, 2010 1:14 am

Estas son cosas que no me dejan dormir por las noches.


Naaa, Es interesante ver como dia a dia el los diseñadores de malware hace super esfuerzos por mejorar su malware. por otro lado es preocupante

Saludos
avatar
Roy-Mustang
Usuario Nivel 3
Usuario Nivel 3

Posts : 62
KCoins : 74
Reputación : 3
Fecha de inscripción : 15/09/2009

Advertencias 0


Ver perfil de usuario

Volver arriba Ir abajo

Re: Nuevo Rootkit posiblemente cuenta con controladores firmados por Realtek

Mensaje  novlucker el Lun Jul 19, 2010 3:26 pm

El certificado usado por este "bicho" ha sido revocado Razz

:http://threatpost.com/en_us/blogs/verisign-revokes-certificate-used-sign-stuxnet-malware-071710

Saludos

_________________
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."
Albert Einstein

avatar
novlucker
Colaborador
Colaborador

Posts : 129
KCoins : 200
Reputación : 3
Fecha de inscripción : 25/09/2008

Staff


Ver perfil de usuario

Volver arriba Ir abajo

Re: Nuevo Rootkit posiblemente cuenta con controladores firmados por Realtek

Mensaje  Contenido patrocinado


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.