Nuevos rootkits con mejor capacidad de ocultación

En el mundo de la seguridad informática, algunos pueden parecer muy paranoicos ante amenazas que no son especialmente peligrosas, pero es necesario tener en cuenta que, una vez se ha descubierto un bug o un ataque contra un sistema este ataque tenderá a mejorarse nunca a mitigarse.

En el caso de los rootkits, aplicaciones que se instalan en nuestro ordenador sin dejar ningún rastro de su presencia cuando se están ejecutando, sucede algo muy parecido, de forma que hay una carrera entre creadores de rootkits y los programadores de detectores en la que los primeros siempre suelen ir un paso por delante.

Uno de los últimos especímenes conocidos es el Rustock.A que según algunos expertos marca un antes y un después en el mundo de los rootkits. Utiliza algunas técnicas innovadoras para esconderse en el sistema, como guardarse en los Alternate Data Streams, una estructura en el disco usada por el sistema NTFS, además de esconder esta estructura ante el sistema.

Otras técnicas utilizadas son la inexistencia de un proceso ejecutándose, ya que el rootkit se ejecuta dentro de hilos del núcleo de Windows y de drivers del sistema.

Afortunadamente, la última versión de BlackLight, un detector de rootkits, ya detecta esta nueva especie. ¿Con qué nos sorprenderán la próxima vez los programadores?

Vía | Digg.

Portada de Genbeta