Skip to content

Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)

julio 3, 2011
Kaspersky-Lab

Como algunos sabrán esta semana hubo un informe de Kaspersky, empresa proveedora de Antivirus, según el cual aproximadamente 4,5 millones de computadoras con sistema operativo Windows estarían infectadas con el rootkit llamado TDL4 (también conocido como TDSS /Alureon).

El TDL4 es un rootkit que infecta el MBR (Master Boot Record) de la computadora. El MBR contiene el primer código que se cargará durante el arranque de la computadora, por lo que infectar el MBR le da una enorme ventaja al virus, ya que se carga antes que nada, incluyendo el Antivirus.

Los 4,5 millones de equipos afectados no deberían ser una sorpresa porque los rootkits generalmente rompen con un ciclo de detección habitual que se puede describir como:

  1. El usuario ve actividad sospechosa en su equipo, por ejemplo un nuevo proceso en ejecución.
  2. El usuario envía el expediente al proveedor de antivirus.
  3. El proveedor de antivirus crea la detección.

Ahora el problema es, ¿cómo puede el usuario enviar algo a su proveedor de antivirus, ya que no puede “ver” algo? Bootkits (o rootkits) de este tipo han sido siempre un dolor de cabeza para los vendedores de antivirus por este motivo.

También esta semana, Microsoft lanzó un blog que describe otro Bootkit, que detecta (pero no elimina) como Trojan: Win32/Popureb.E.

La herramienta gratuita de Kaspersky, llamada TDSSKiller (versión 2.5.8.0), es uno de las pocas que efectivamente pueden detectar si un ordenador está infectado con este rootkit, que Kaspersky llama: Rootkit.Win32.BackBoot.gen.

El problema con este nuevo bootkit es que se fusiona con la limpieza. Por ejemplo, cuando el producto de seguridad intente Escribir, el troyano cambiará Escribir por Leer. Esto hará que el producto de seguridad crea que la limpieza fue un éxito, cuando no es así.

Más información en:

About these ads
No comments yet

Deja un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 288 seguidores

A %d blogueros les gusta esto: